. NET tabanlı Ransomware aileler açık kaynak depoları aracılığıyla kullanıcıların dosyaları şifrelemek

Computer Security News

Zscaler güvenlik uzmanları son zamanlarda iki uyarmak. NET tabanlı ransomware aileler açık kaynak kod kullanarak kullanıcıların dosyaları şifreleme.

Kötü amaçlı yazılım aileler girdap denir ve BUGWARE ve onlar spam e-postaları kötü niyetli URL’ler içeren canlı saldırıları fark.

Girdap ve BUGWARE her ikisi de Microsoft ara dili (MSIL içinde) derlenmiş ve sözde ‘Confuser’ istifçi ile dolu.

Zscaler’ın analize göre girdap Lehçe yazılmış ve görüntü, ses, video, belge ve kurbanın bilgisayardaki diğer potansiyel olarak önemli veri dosyaları şifrelemek için AES-256 şifreleme kullanır.

Şifreleme işlemi tamamlandı olarak benzer şekilde diğer ransomware türevleri için girdap bir fidye notu nasıl onlar-ebilmek dinlenme onların veri ve fidye ödeme göndermek nasıl kurban bildiren bırakır.

Ransomware kullanıcıların ücretsiz iki onların dosyalarının şifresini çözmek ve muhtemelen 4 günde 200 $ artar bir 100 $ fidye talep ediyor. Malware kurbanlarını hackerlar Hc9@2.pl veya Hc9@goat.si e-posta adresi yoluyla irtibata geçmeleri rica olunur.

Sisteme yüklenen, girdap ransomware kalıcı bir kayıt defteri girdisi, hem de “AESxWin.” adlı bir kayıt defteri anahtar oluşturma yoluyla ulaşmak çalışır Ayrıca, kötü amaçlı yazılım kullanıcıların fidyeyi ödemeden onların veri geri engelleme gölge kopyaları sil fark edildi.

Malware’s komut ve kontrol (C & C) iletişim analizi sırasında güvenlik uzmanları sistem bilgi gönderme ve bir parola şifreleme ve şifre çözme anahtar için kullanılan API istemek belgili tanımlık malware tespit.

Zscaler göre girdap ransomware AESxWin üzerinde dayanır – freeware şifreleme ve şifre çözme yarar GitHub barındırılan ve eren Hamouda Mısır geliştirici tarafından geliştirilen. Bu nedenle, şifrelenmiş dosyaları şifrelemek için kullanılan parolayı biliniyorsa AESxWin kullanarak çözülebilecek.

BUGWARE ransomware açık kaynak bir süre önce diğer ransomware aileler oluşturmak için istismar gizli gözyaşı kod dayanmaktadır.

BUGWARE da gaz INFORMATİCA sena, Monero bir bin Brezilya Reali denk ödemeye kurbanlarını soran için olmaya gibi geçersiz bir sertifika kullanır.

Ransomware şifrelemek için bir yol listesi yapar ve Criptografia.pathstoencrypt adlı bir dosyaya depolar ve tüm sabit ve çıkarılabilir sürücüler, tüm bu yolu listeye ekleme arar.

Uzmanlar ayrıca BUGWARE şifreleme anahtarı oluşturmak ve kullanıcıların dosyaları şifrelemek için AES 256-bit algoritması kullanarak, yanı sıra şifrelenmiş dosyaları yeniden adlandırma fark ettim. AES anahtar çok, RSA ortak anahtar kullanılarak şifrelenir ve base64 olarak kodlanmış anahtar kayıt defterine kaydedilir.

Sebat elde etmek için kullanıcı bilgisayara oturum her zaman yürütülecek olan sağlayan bir çalışma anahtar BUGWARE ransomware oluşturur. Kötü amaçlı yazılım herhangi bir çıkarılabilir sürücüler algılar diye, onlara, “fatura-vencida.pdf.scr.” adında bir kopya-in kendisi damla

Ayrıca, BUGWARE “i[.]imgur.com/NpKQ3KZ.jpg” indirilen görüntü dosyaları kullanarak kurbanın masaüstü arka plan değişiklikleri


Leave a Reply

Your email address will not be published. Required fields are marked *