Kozy.Jozy

Kozy.Jozy Ransomware

(шифровальщик-вымогатель)

   Этот криптовымогатель шифрует файлы пользователя, а потом устанавливает в качестве обоев рабочего стола изображение w.jpg с требованием прислать на почту вымогателей один из пострадавших файлов для расшифровки. В ответном письме придет уже расшифрованный файл и будет указана сумма выкупа за остальные зашифрованные файлы. 

Текст с экрана: 

ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ!

с использованием очень стойкого алгоритма RSА-2048.

Попытки восстановить файлы самостоятельно приведут лишь

к их безвозвратной порче. Если же они вам нужны то

отправьте один из пострадавших файлов на ящик

kozy.jozy@yahoo.com

К зашифрованным файлам добавляется расширение со сложным названием:

.31392E30362E32303136_ (0-20) _LSBJ1, где (0-20) - диапазон цифр от 0 до 20

.31392E30362E32303136_ (0-20) _ZHM1

.31342E30362E32303136_ (0-20) _KTR1

В начале также могут быть другие цифры, а в конце другие буквы. 

Kozy.Jozy удаляет теневые копии файлов командой: 
vssadmin.exe Delete Shadows /All /Quiet 

Список файловых расширений, подвергающихся шифрованию:

cd, .ldf, .mdf, .max, .dbf, .epf, .1cd, .md, .pdf, .ppt, .xls, .doc, .arj, .tar, .7z, .rar, .zip, .tif, .jpg, .bmp, .png, .cdr, .psd, .jpeg, .docx, .xlsx, .pptx, .accdb, .mdb, .rtf, .odt, .ods, .odb, .odg...

К сожалению, заявленное шифрование RSA-2048 действительно присутствует. Вымогатель использует 20 встроенных ключей RSA и шифрует данные жертвы с одним из них, выбранным случайным образом, в куски по 245 байт. В настоящее время, в связи с использованием этого асимметричного шифрования, нет бесплатного способа для дешифровки данных.

Степень распространенности: низкая.

Подробные сведения собираются.