Kozy.Jozy Ransomware
(шифровальщик-вымогатель)
Этот криптовымогатель шифрует файлы пользователя, а потом устанавливает в качестве обоев рабочего стола изображение w.jpg с требованием прислать на почту вымогателей один из пострадавших файлов для расшифровки. В ответном письме придет уже расшифрованный файл и будет указана сумма выкупа за остальные зашифрованные файлы.
Текст с экрана:
ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ!
с использованием очень стойкого алгоритма RSА-2048.
Попытки восстановить файлы самостоятельно приведут лишь
к их безвозвратной порче. Если же они вам нужны то
отправьте один из пострадавших файлов на ящик
kozy.jozy@yahoo.com
К зашифрованным файлам добавляется расширение со сложным названием:
.31392E30362E32303136_ (0-20) _LSBJ1, где (0-20) - диапазон цифр от 0 до 20
.31392E30362E32303136_ (0-20) _ZHM1
.31342E30362E32303136_ (0-20) _KTR1
В начале также могут быть другие цифры, а в конце другие буквы.
Kozy.Jozy удаляет теневые копии файлов командой:
vssadmin.exe Delete Shadows /All /Quiet
Kozy.Jozy удаляет теневые копии файлов командой:
vssadmin.exe Delete Shadows /All /Quiet
Список файловых расширений, подвергающихся шифрованию:
cd, .ldf, .mdf, .max, .dbf, .epf, .1cd, .md, .pdf, .ppt, .xls, .doc, .arj, .tar, .7z, .rar, .zip, .tif, .jpg, .bmp, .png, .cdr, .psd, .jpeg, .docx, .xlsx, .pptx, .accdb, .mdb, .rtf, .odt, .ods, .odb, .odg...
К сожалению, заявленное шифрование RSA-2048 действительно присутствует. Вымогатель использует 20 встроенных ключей RSA и шифрует данные жертвы с одним из них, выбранным случайным образом, в куски по 245 байт. В настоящее время, в связи с использованием этого асимметричного шифрования, нет бесплатного способа для дешифровки данных.
Степень распространенности: низкая.
Подробные сведения собираются.