среда, 22 июня 2016 г.

ZimbraCryptor Ransomware


  Этот криптовымогатель шифрует с помощью AES все файлы, находящиеся в папке-хранилище /opt/zimbra/store электронной почты почтового сервера Zimbra. Затем он создаёт записку с требованием выкупа в /root/how.txt, где требует 3 биткоина, чтобы дешифровать файлы. 


  Зашифрованные файлы получают расширение .crypto. Например, 14000-20200.msg будет зашифрован как 14000-20200.msg.crypto.

  Устанавливается с помощью хакерского взлома сервера Zimbra и выполнения сценария Python. После того, как скрипт выполнится, он сгенерирует уникальные для компьютера жертвы ключи RSA и AES. Ключ AES затем шифруется с помощью ключа RSA и они оба отправляются на mpritsken@priest.com

  После того, как ключи сгенерируются, сценарий создаст записку с требованием выкупа под названием how.txt в /root/ папке. В ней указан Bitcoin-адрес, почта и открытый ключ, который нужно отправить на email вымогателей после уплата выкупа.

Содержание записки о выкупе:
Hello, If you want to unsafe your files you should send 3 btc to 1H7brbbi8xuUvM6XE6ogXYVCr6ycpX3mf2 and an email to mpritsken@priest.com with: public key...
Перевод на русский язык:
Привет, Если хотите вернуть свои файлы, то должны послать 3 btc на 1H7brbbi8xuUvM6XE6ogXYVCr6ycpX3mf2 и на mpritsken@priest.com: прислать открытый ключ...

Степень распространенности: единичные случаи.
Подробные сведения собираются. 

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *