Если вы не видите здесь изображений, то используйте VPN.

понедельник, 17 октября 2016 г.

JapanLocker, SHCLocker

JapanLocker Ransomware 

SHC Ransomware, SHCLocker

(шифровальщик-вымогатель)


    Этот крипто-вымогатель шифрует данные на сайтах, а затем требует связаться с вымогателями по email, чтобы вернуть сайт в прежнее состояние. Никакое расширение к зашифрованным файлам не добавляется.

 К зашифрованным сайтам добавляется строка #LOCK#

 Название дано самими вымогателями. Второе название было дано исследователями из Fortinet. Активность этого криптовымогателя пришлась на октябрь 2016 г. 

 Записка о выкупе написана на веб-странице, встающей индексом заблокированного сайта. 
Содержание записки о выкупе:
This Site Has Been Locked!
Please Contact To Email japanlocker@hotmail.com To Unlock This Site Back.

 Перевод записки на русский язык:
Этот сайт блокирован!
Свяжитесь по email japanlocker@hotmail.com для разблокировки сайта.

 Мною обнаружена функция, скрытая в коде страницы. Если открыть исходный код страницы и прокрутить бегунок вниз до кода, скрывающего ссылку, а потом кликнуть по ней, то по веб-ссылке откроется изображение ключа.

Взламывается по протоколу удаленного рабочего стола, с помощью вредоносных плагинов для систем управления сайтов, имеющих скрытый функционал бэкдора. 

  Зашифрованные файлы будут иметь следующую структуру: 
[Path_to_encrypted_file]\#LOCK#\[Encrypted_file]
Структура зашифрованного файла по данным Fortinet

Исследователи из Fortinet досконально изучили этот вредонос, установили индонезийскую хакерскую группу Indonesia Defacer Tersakiti, осуществившую эту и подобные атаки на сайты и даже выпустили декриптор.

 Группировка также специализируется на создании открытх вымогательских проектов (Ransomware open source) и выкладывает их от имени группы Bug7sec Team. 
Степень распространённости: низкая.
Подробные сведения собираются.


Внимание! 
Для зашифрованных сайтов есть декриптор

Read to links: 
Tweet on Twitter
ID Ransomware
Symantec: Ransom.SHCLocker  (add. on October 25, 2016)
Write-up on Fortinet (add. on October 20, 2016)
 Thanks: 
 Michael Gillespie
 Fortinet blog
 Symantec SR

© Amigo-A (Andrew Ivanov): All blog articles.
на

2 комментария:

ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.