. Rodzin na podstawie NET Ransomware zaszyfrować pliki użytkowników za pośrednictwem Open Source repozytoriów

Computer Security News

Usługi Zscaler zabezpieczeń eksperci ostrzegają, że dwa niedawno znaleziono. Rodziny ransomware opartych na necie są szyfrowania plików użytkowników za pomocą otwartego kodu źródłowego.

Rodziny złośliwego oprogramowania są nazywane Vortex i BUGWARE i one zostały zauważone na żywo ataki przeprowadzane za pośrednictwem wiadomości spamowych, zawierające złośliwe adresy URL.

Vortex i BUGWARE są zarówno skompilowany w Microsoft Intermediate Language (MSIL) i został zapakowany z tak zwanej ‘Confuser’ pakującego.

Według analizy usługi Zscaler’s Vortex jest napisany w języku polskim i używa szyfrowania AES-256 do szyfrowania obraz, audio, wideo, dokumentów i innych plików potencjalnie ważnych danych na komputerze ofiary.

Podobnie do innych wariantów ransomware, Vortex krople okupu zaraz po zakończeniu procesu szyfrowania, informując ofiary na jak można przywrócić swoje dane i jak wysłać zapłaty okupu.

Ransomware pozwalają użytkownikom odszyfrować dwóch swoich plików za darmo i domaga się okupu 100 dolarów, co prawdopodobnie zwiększa do 200 dolarów w ciągu czterech dni. Malware ofiar, proszeni są o kontakt hakerzy poprzez adresy e-mail Hc9@2.pl lub Hc9@goat.si.

Jest instalowany w systemie, Vortex ransomware próbuje osiągnąć trwałości poprzez tworzenie wpisu rejestru, a także klucz rejestru o nazwie “AESxWin.” Również malware został zauważony aby usunąć kopie w tle uniemożliwiając użytkownikom przywrócenie ich danych bez płacenia okupu.

Podczas malware dowodzenia i kontroli (C & C) Analiza komunikacji ekspertów w dziedzinie bezpieczeństwa zauważony malware, wysyłając informacje o systemie i monit o hasło używane do szyfrowania i odszyfrowywania klucz API.

Według usługi Zscaler Vortex ransomware opiera się na AESxWin – darmowe narzędzie szyfrowanie i odszyfrowywania hostowane w serwisie GitHub i opracowane przez autora egipski Eslam Hamouda. Z tego powodu można odszyfrować zaszyfrowane pliki przy użyciu AESxWin, jeśli hasło używane do szyfrowania jest znany.

BUGWARE ransomware opiera się na open source ukryte łza kod, który został wykorzystany do tworzenia innych rodzin ransomware jakiś czas temu.

BUGWARE używa również udając dla gazu INFORMATICA LTDA, prosząc jego ofiarom zapłacić równowartość tysiąc Brazylii reals w Monero nieprawidłowy certyfikat.

Ransomware sprawia, że lista ścieżek do szyfrowania i zapisuje go w pliku o nazwie Criptografia.pathstoencrypt i wyszukuje wszystkie sieci stałych i wymiennych, dodając wszystkie te ścieżki do listy.

Eksperci również zauważyłem, że BUGWARE był generowania klucza szyfrowania i przy użyciu algorytmu AES 256-bitowe szyfrowanie plików użytkowników, a także zmiana nazwy zaszyfrowanych plików. Klucza AES jest zbyt, szyfrowane za pomocą klucza publicznego RSA i base64 zakodowany klucz jest zapisywane w rejestrze.

W celu uzyskania trwałości, BUGWARE ransomware tworzy klucz run, który zapewnia, że jest wykonywane za każdym razem użytkownik loguje się do komputera. W przypadku, gdy złośliwe oprogramowanie wykrywa wszystkie dyski wymienne, krople kopię sobie na nich, o nazwie “fatura-vencida.pdf.scr.”

Dodatkowo BUGWARE zmienia tło pulpitu ofiary za pomocą obrazu pliki pobrane z “i[.]imgur.com/NpKQ3KZ.jpg.”


Leave a Reply

Your email address will not be published. Required fields are marked *