Показать сообщение отдельно

Re: IT-безопасность-свежие новости.
Старый 14.04.2016, 11:46   #1022
☭☭☭☭☭
 
Аватар для kroxus

 
Регистрация: 23.05.2012
Адрес: 777
Сообщений: 10 933

kroxus вне форума

IT-безопасность-свежие новости.


«Привет, я хочу сыграть с тобой в игру»: новый вымогатель

Стало известно об атаках [Ссылки могут видеть только зарегистрированные пользователи. ], получившего название Jigsaw – «Пила», в честь главного злодея из одноименного слэшера. От прочих он отличается тем, что не только шифрует файлы на компьютере с целью выкупа, но и действительно удаляет их, если пользователь вовремя не заплатит требуемую сумму в биткоинах. Кроме того, файлы автоматически удаляются каждый раз при перезагрузке – сразу тысяча файлов одним махом. Это первый раз, когда зловред-вымогатель не только угрожает, но и выполняет свои угрозы – а это может весьма эффективно «мотивировать» жертву заплатить выкуп поскорее.


При заражении на экране появляется знаменитая маска Пилы с текстом следующего содержания: «Файлы на твоем компьютере зашифрованы. <…> Но не волнуйся, я их не удалил… пока. У тебя есть 24 часа на то, чтобы заплатить 150 долларов биткоинами, и тогда ты получишь ключ. Каждый час я буду удалять файлы, чем дальше – тем больше за раз. По истечении 72 часов все файлы будут удалены <…> Не делай глупостей: я предусмотрел необходимые меры на этот случай». Также вымогатель дает рекомендации, на какой бирже приобретать биткоины, и обещает, что при получении выкупа ключ будет отправлен в течение двух минут. Исследователи пока не знают, каким образом распространяется зловред. Jigsaw сначала сканирует систему в поисках подходящих форматов, а затем применяет AES-шифрование; к файлам добавляется расширение .FUN, .KKK или .BTC. Список зашифрованных файлов сохраняется в текстовый файл, как и адрес биткоин-кошелька. Затем зловред прописывает в системе файл автозапуска, который исполняется всякий раз, когда пользователь загружает систему. Если пользователь решил заплатить выкуп, после оплаты ему нужно нажать кнопку «Проверить статус платежа». Программа обращается к кошельку и, если количество биткоинов в нем больше, чем сумма платежа, файлы автоматически расшифровываются. Однако есть и хорошие новости: хакеры из MalwareHunterTeam совместно с независимыми исследователями Майклом Джиллеспи (Michael Gillespie) и Лоуренсом Адамсом (Laurence Adams) проанализировали зловреда и нашли способ расшифровать файлы без выплаты выкупа. Сначала нужно принудительно завершить процессы firefox.exe и drpbx.exe в Диспетчере задач, чтобы остановить удаление файлов. Запустив MSConfig, нужно отключить автозапуск файла firefox.exe, указывающего на исполняемый файл %UserProfile%\AppData\Roaming\Frfx\firefox.exe. Теперь можно приступать к расшифровке файлов посредством разработанного командой дешифровщика, который можно [Ссылки могут видеть только зарегистрированные пользователи. ] с сайта Bleeping Computer. При его исполнении возникает простое диалоговое окно, и все, что нужно сделать – это выбрать директорию или весь диск и нажать «Расшифровать мои файлы». Создатели инструмента просят пользователей не удалять зашифрованные файлы до того, как все необходимые данные вернутся в первоначальный вид. При успешном завершении процесса пользователи увидят новое окно с подтверждением, что файлы расшифрованы. Затем остается только запустить антивирусную проверку и попробовать избавиться от Jigsaw.

ИБ-исследователи сработали весьма быстро: по признанию участников, они провели за анализом несколько часов и смогли оперативно создать и протестировать дешифратор. Представители MalwareHunterTeam иронизируют, что похоже, основной целью создателей шифровальщика была игра с жертвой, а не деньги.
[Ссылки могут видеть только зарегистрированные пользователи. ]
__________________
Ковчег построен любителем. Профессионалы построили "Титаник"
  Ответить с цитированием
 
Яндекс.Метрика