• Привет !

    На форуме есть зеркало в ТОРе:rusfwz3cukdej7do.onion

    Обратная связь:info@ru-sfera.org

    Всего доброго !

Кроссплатформенны вымогатель на JavaScript

Информация Кроссплатформенны вымогатель на JavaScript (1 Viewer)

Кто просматривает этот контент: "Тема" (Всего пользователей: 0; Гостей: 1)

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
5 376
Репутация
7 873
Telegram
Пользователь X-Shar разместил новый ресурс:

Кроссплатформенны вымогатель на JavaScript - Немного инфы про Ransom32

Специалисты компании Emsisoft обнаружили вредоносную программу — вымогатель, которая написана на JavaScript. Она получила название Ransom32 и используется злоумышленниками для вредоносных кампаний, аналогичных распространению многих других семейств такого типа вредоносного ПО. Злоумышленники выбрали высокий уровень анонимности для работы с Ransom32, для связи со своим управляющим C&C-сервером...
Узнать больше об этом ресурсе...
 

KILLER-S

Уважаемый пользователь
Форумчанин
Регистрация
24.12.2014
Сообщения
356
Репутация
76
Шифратор маскируется под Google Chrome

Международная антивирусная компания ESET предупреждает о появлении нового шифратора Ransom32, маскирующегося под браузер Google Chrome. Ransom32 является первым шифратором, написанным на языке JavaScript и работающим на платформе NW.js. В настоящее время экспертами исследованы версии Ransom32 для Microsoft Windows, но программа может быть адаптирована для Linux и Apple OS X. Создатели Ransom32 реализуют шифратор по модели SaaS («программное обеспечение как услуга»). Для генерации вредоносной программы и получения доступа к панели управления покупателю достаточно указать адрес своего биткоин-кошелька. Оператор Ransom32 сможет самостоятельно задавать сумму выкупа в биткоинах, создавать текст требования выкупа, а также просматривать статистику заражений и полученных средств. Ransom32 распространяется через традиционные для шифраторов каналы: вредоносные сайты, атаки типа drive-by-download, вложения в электронной почте, а также сложные атаки с использованием троянов-загрузчиков или бэкдоров. После загрузки и исполнения в зараженной системе Ransom32 осуществляет шифрование файлов более ста распространенных форматов, включая TXT, .DOC, .JPG, .GIF, .AVI, .MOV, .MP4, и выводит на экран сообщение для жертвы. Для связи с управляющим сервером шифратор использует анонимную сеть Tor. Шифрование производится с помощью 128-битного ключа, при этом для каждого файла генерируется новый ключ. Вредоносная программа предлагает жертве расшифровать один файл, чтобы убедиться, что восстановление данных возможно. Эксперты ESET рекомендуют регулярно создавать резервные копии важных файлов, обновлять операционную систему и программное обеспечение, включая антивирусное ПО, а также игнорировать подозрительные письма.
 

KILLER-S

Уважаемый пользователь
Форумчанин
Регистрация
24.12.2014
Сообщения
356
Репутация
76
Плохо написанный шифровальщик вымогает деньги, но не может расшифровать смех-смех!!!

В последнее время авторов вымогательского ПО и шифровальщиков то и дело постигают неудачи. То вирусные аналитики за пару дней разгадают алгоритм шифрования и выпустят инструмент для расшифровки файлов. То сами создатели малвари допустят ошибку, и в итоге их детище работает не совсем так, как было запланировано. Специалисты Trend Micro обнаружили новый яркий пример, относящийся ко второй категории фэйлов. Авторы вымогателя RANSOM_CRYPTEAR.B не только взяли за основу чужой код, но и умудрились его испортить. В августе 2015 года турецкая команда исследователей Otku Sen опубликовала на GitHub исходный код вымогательской малвари Hidden Tear, созданной исключительно в образовательных и научных целях. Авторы Hidden Tear рассказали в своем блоге, что Hidden Tear был ловушкой для ленивых хакеров, которые вместо написания собственного вымогателя решат позаимствовать код чужого. Эксперты уверяли, что в коде Hidden Tear заложена уязвимость, которая позволит им беспрепятственно расшифровать файлы потенциальных жертв (если до такого дойдет), сообщает xakep.ru. Компания Trend Micro сообщает, как минимум один хакер клюнул на приманку исследователей. Специалисты компании обнаружил вымогательское ПО RANSOM_CRYPTEAR.B. В декабре 2015 года авторы этого вредоноса взломали неназванный парагвайский сайт и использовали ресурс для переадресации пользователей на фальшивую страницу, якобы предлагающую скачать обновление для Adobe Flash Player. Разумеется, вместо обновления жертва скачивала и устанавливала на свой компьютер шифровальщика. Основу кода RANSOM_CRYPTEAR.B составляет код Hidden Tear, однако хакеры, очевидно, решили внести в него некие улучшения. В частности, шифровальщик научили демонстрировать сообщение с требованием выкупа на португальском языке, заменяя угрозой обои на рабочем столе пользователя.

c8gwyio-1040x5411.jpg

Еще одно изменение в коде касается ключей шифрования, и не совсем ясно – допустили ли хакеры ошибку, или поступили так намеренно. Дело в том, что теперь шифровальщик попросту выбрасывает ключ шифрования, а не отправляет его на командный сервер. Даже если исследователи из Otku Sen действительно встроили в Hidden Tear некий бэкдор, теперь он бесполезен. Расшифровать файлы, не имея ключа, попросту невозможно. Эксперты Trend Micro полагают, что виной всему халатность хакеров, и баг закрался в код случайно. Даже если это в самом деле ошибка, а не злой умысел, мошенники вряд ли расстроятся. На их деятельность баг никоим образом не влияет: сообщение с требованием выкупа отображается корректно (хакеры требуют около $500), файлы шифруются, деньги на Bitcoin-кошелек поступают. Комментариев от настоящих авторов малвари – команды Otku Sen пока не поступало. Это не первый случай, когда файлы невозможно восстановить после заражения шифровальщиком. В ноябре прошлого года был замечен вымогатель Power Worm, который точно так же терял в процессе ключ шифрования, что делало восстановление данных невозможным.
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
5 376
Репутация
7 873
Telegram
Плохо написанный шифровальщик вымогает деньги, но не может расшифровать смех-смех!!!
А прикинь кто-нить заплатит, а расшифровать несможет, поэтому лучше и не платить за расшифровку, к тому-же часто эксперты АВ могут помочь в расшифровке...