среда, 22 июня 2016 г.

ZimbraCryptor Ransomware


  Этот криптовымогатель шифрует с помощью AES все файлы, находящиеся в папке-хранилище /opt/zimbra/store электронной почты почтового сервера Zimbra. Затем он создаёт записку с требованием выкупа в /root/how.txt, где требует 3 биткоина, чтобы дешифровать файлы. 


  Зашифрованные файлы получают расширение .crypto. Например, 14000-20200.msg будет зашифрован как 14000-20200.msg.crypto.

  Устанавливается с помощью хакерского взлома сервера Zimbra и выполнения сценария Python. После того, как скрипт выполнится, он сгенерирует уникальные для компьютера жертвы ключи RSA и AES. Ключ AES затем шифруется с помощью ключа RSA и они оба отправляются на mpritsken@priest.com

  После того, как ключи сгенерируются, сценарий создаст записку с требованием выкупа под названием how.txt в /root/ папке. В ней указан Bitcoin-адрес, почта и открытый ключ, который нужно отправить на email вымогателей после уплата выкупа.

Содержание записки о выкупе:
Hello, If you want to unsafe your files you should send 3 btc to 1H7brbbi8xuUvM6XE6ogXYVCr6ycpX3mf2 and an email to mpritsken@priest.com with: public key...
Перевод на русский язык:
Привет, Если хотите вернуть свои файлы, то должны послать 3 btc на 1H7brbbi8xuUvM6XE6ogXYVCr6ycpX3mf2 и на mpritsken@priest.com: прислать открытый ключ...

Степень распространенности: единичные случаи.
Подробные сведения собираются. 

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *