+- SafeGroup (https://safegroup.pl)
+-- Dział: Bezpieczeństwo (https://safegroup.pl/forum-10.html)
+--- Dział: Inne (https://safegroup.pl/forum-15.html)
+--- Wątek: AVG odkrywa "Hitler-Ransomware" (/thread-10656.html)
AVG odkrywa "Hitler-Ransomware" - ichito - 10.08.2016
AVG odkryło kolejna wersję niezbyt wyrafinowanego ransomware i pewnie przeszłoby to bez większego rozgłosu, gdyby nie nazwa szkodnika - Hitler-Ransomware...prawda, że "oryginalnie"? Nie komentuję inwencji autorów w temacie nadanej nazwy...
Żeby było "po całości" szkodnik (są dane , że niemieckiego pochodzenia) przedstawia się obrazkiem z podobizną A. Hitlera...obrazek niżej...oraz komunikatem o zaszyfrowaniu komputera w ciągu najbliższej godziny...dla podgrzania atmosfery na dole ekranu pojawia się pasek postępu odliczanego czasu.
[Aby zobaczyć linki, zarejestruj się tutaj]
Opłata, jakiej szkodnik żąda to 25 Euro, ale autorzy niespecjalnie na tę kwotę chyba zasłużyli - analizy wskazują, że to może być jakiś testowy wariant, a szkodnik tak naprawdę nie szyfruje plików...zamiast tego usuwa rozszerzenia plików znajdujących się w różnych lokalizacjach - poniżej aktualny wykaz
Kod:
%userprofile%\Pictures
%userprofile%\Documents
%userprofile%\Downloads
%userprofile%\Music
%userprofile%\Videos
%userprofile%\Contacts
%userprofile%\Links
%userprofile%\Desktop
C:\Users\Public\Pictures\Sample Pictures
C:\Users\Public\Music\Sample Music
C:\Users\Public\Videos\Sample VideosNastępnie po upływie godziny powoduje samoczynną awarię systemu i jego ponowne uruchomienie - wtedy usuwa wszystkie pliki z wymienionych lokalizacji. Wykryto również, że szkodnik ma powiązanie z następującymi lokalizacjami
Kod:
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\firefox32.exe
%Temp%\[folder].tmp\
%Temp%\[folder].tmp\chrst.exe
%Temp%\[folder].tmp\ErOne.vbs
%Temp%\[folder].tmp\firefox32.exeJeden z badaczy w dalszych analizach wskazał na ważny punkt w działaniu szkodnika - automatyczny restart po awarii - dlatego zalecił wyłączenie tej opcji, o czym poniżej
[Aby zobaczyć linki, zarejestruj się tutaj]
Źródło
[Aby zobaczyć linki, zarejestruj się tutaj]
RE: AVG odkrywa "Hitler-Ransomware" - Tajny Współpracownik - 10.08.2016
Nein nein nein!