Kiedy źli hakerzy się nudzą, nie przestają, dopóki nie znajdą nowych sposobów wyrządzenia krzywdy i zarobienia pieniędzy na plecach swoich ofiar. Nowym zagrożeniem jest sianie strachu wśród użytkowników Internetu, a jest to wariant oprogramowania ransomware o nazwie „CryPy”, który został napisany w języku Python. W przeciwieństwie do innych złośliwych programów, do każdego pliku zaszyfrowanego w systemie ofiary przypisuje unikalny klucz i bardzo trudno go odszyfrować.
Zostaliśmy ostrzeżeni o istnieniu CryPy przez badacza AVG, Jakuba Kroustka, który napisał na swoim koncie na Twitterze, że to ransomware zostało wykryte w środowisku naturalnym. Wygląda na to, że CryPy składa się z dwóch plików: boot_common.py, który służy do logowania błędów w systemie Windows i encryptor.py, który jest szafką i zawiera szereg funkcji. Wygląda na to, że w Izraelu istnieje serwer WWW, który został przejęty za pomocą luki w systemie zarządzania treścią (Magento), a hakerzy wykorzystali go do ataków phishingowych.
Uważa się, że za tymi atakami stoją niektórzy programiści mówiący po hebrajsku, którzy byli w stanie ukraść dane uwierzytelniające Paypal, a następnie przesłać je na zdalny serwer w Meksyku, zawierający różne metody zarządzania treścią, ale tę samą technikę przesyłania plików. Jeśli chodzi o CryPy, po zainfekowaniu systemu wyłącza funkcje, które zwykle usuwają złośliwe oprogramowanie, takie jak Narzędzia rejestru, Menedżer zadań, CMD i Uruchom. Następnie szyfruje pliki i przypisuje unikalny klucz do każdego zaszyfrowanego pliku. Następnie ofiary otrzymują list z żądaniem okupu, który mówi:
„Wszystkie twoje pliki są zaszyfrowane za pomocą mocnych chipów [sic]. Odszyfrowanie plików jest możliwe tylko za pomocą programu deszyfrującego, który znajduje się na naszym tajnym serwerze. Pamiętaj, że co 6 godzin losowy plik jest trwale usuwany. Im szybciej jesteś, tym mniej plików stracisz. Ponadto za 96 godzin klucz zostanie trwale usunięty i nie będzie możliwości odzyskania plików. Aby otrzymać program deszyfrujący, skontaktuj się z jednym z e-maili: 1. m4n14k @ sigaint [.] Org 2. blackone @ sigaint [.] Org. Po prostu podaj swój identyfikator, a my podamy kolejne instrukcje. Twój osobisty identyfikator: ”
Nie wiadomo, czy oprogramowanie ransomware stało się jeszcze ofiarą, ale ważne jest, aby zainstalować potężne oprogramowanie anty-ransomware, aby uniknąć tych ataków.
POWIĄZANE HISTORIE DO SPRAWDZENIA:
- Pobierz AVG Antivirus Free dla Windows 8, Windows 10 [najnowsza wersja]
- Twórcy ransomware DXXD uniemożliwiają odszyfrowanie złośliwego oprogramowania
- Wyczyść Windows 8, 10 Store i Windows 8.1, 10 Apps za pomocą programu AVG PC TuneUp
- CryPy