Если вы не видите здесь изображений, то используйте VPN.

понедельник, 20 июня 2016 г.

Kozy.Jozy

Kozy.Jozy Ransomware

(шифровальщик-вымогатель)


   Этот криптовымогатель шифрует файлы пользователя, а потом устанавливает в качестве обоев рабочего стола изображение w.jpg с требованием прислать на почту вымогателей один из пострадавших файлов для расшифровки. В ответном письме придет уже расшифрованный файл и будет указана сумма выкупа за остальные зашифрованные файлы. 

Текст с экрана: 
ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ!
с использованием очень стойкого алгоритма RSА-2048.
Попытки восстановить файлы самостоятельно приведут лишь
к их безвозвратной порче. Если же они вам нужны то
отправьте один из пострадавших файлов на ящик
kozy.jozy@yahoo.com

К зашифрованным файлам добавляется расширение со сложным названием:
.31392E30362E32303136_ (0-20) _LSBJ1, где (0-20) - диапазон цифр от 0 до 20
.31392E30362E32303136_ (0-20) _ZHM1
.31342E30362E32303136_ (0-20) _KTR1

В начале также могут быть другие цифры, а в конце другие буквы. 

Kozy.Jozy удаляет теневые копии файлов командой: 
vssadmin.exe Delete Shadows /All /Quiet 

Список файловых расширений, подвергающихся шифрованию:
cd, .ldf, .mdf, .max, .dbf, .epf, .1cd, .md, .pdf, .ppt, .xls, .doc, .arj, .tar, .7z, .rar, .zip, .tif, .jpg, .bmp, .png, .cdr, .psd, .jpeg, .docx, .xlsx, .pptx, .accdb, .mdb, .rtf, .odt, .ods, .odb, .odg...

К сожалению, заявленное шифрование RSA-2048 действительно присутствует. Вымогатель использует 20 встроенных ключей RSA и шифрует данные жертвы с одним из них, выбранным случайным образом, в куски по 245 байт. В настоящее время, в связи с использованием этого асимметричного шифрования, нет бесплатного способа для дешифровки данных.

Степень распространенности: низкая.
Подробные сведения собираются. 

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *