10.08.2016, 10:48
AVG odkryło kolejna wersję niezbyt wyrafinowanego ransomware i pewnie przeszłoby to bez większego rozgłosu, gdyby nie nazwa szkodnika - Hitler-Ransomware...prawda, że "oryginalnie"? Nie komentuję inwencji autorów w temacie nadanej nazwy...
Żeby było "po całości" szkodnik (są dane , że niemieckiego pochodzenia) przedstawia się obrazkiem z podobizną A. Hitlera...obrazek niżej...oraz komunikatem o zaszyfrowaniu komputera w ciągu najbliższej godziny...dla podgrzania atmosfery na dole ekranu pojawia się pasek postępu odliczanego czasu.
Opłata, jakiej szkodnik żąda to 25 Euro, ale autorzy niespecjalnie na tę kwotę chyba zasłużyli - analizy wskazują, że to może być jakiś testowy wariant, a szkodnik tak naprawdę nie szyfruje plików...zamiast tego usuwa rozszerzenia plików znajdujących się w różnych lokalizacjach - poniżej aktualny wykaz
Następnie po upływie godziny powoduje samoczynną awarię systemu i jego ponowne uruchomienie - wtedy usuwa wszystkie pliki z wymienionych lokalizacji. Wykryto również, że szkodnik ma powiązanie z następującymi lokalizacjami
Jeden z badaczy w dalszych analizach wskazał na ważny punkt w działaniu szkodnika - automatyczny restart po awarii - dlatego zalecił wyłączenie tej opcji, o czym poniżej
Źródło
Żeby było "po całości" szkodnik (są dane , że niemieckiego pochodzenia) przedstawia się obrazkiem z podobizną A. Hitlera...obrazek niżej...oraz komunikatem o zaszyfrowaniu komputera w ciągu najbliższej godziny...dla podgrzania atmosfery na dole ekranu pojawia się pasek postępu odliczanego czasu.
[Aby zobaczyć linki, zarejestruj się tutaj]
Opłata, jakiej szkodnik żąda to 25 Euro, ale autorzy niespecjalnie na tę kwotę chyba zasłużyli - analizy wskazują, że to może być jakiś testowy wariant, a szkodnik tak naprawdę nie szyfruje plików...zamiast tego usuwa rozszerzenia plików znajdujących się w różnych lokalizacjach - poniżej aktualny wykaz
Kod:
%userprofile%\Pictures
%userprofile%\Documents
%userprofile%\Downloads
%userprofile%\Music
%userprofile%\Videos
%userprofile%\Contacts
%userprofile%\Links
%userprofile%\Desktop
C:\Users\Public\Pictures\Sample Pictures
C:\Users\Public\Music\Sample Music
C:\Users\Public\Videos\Sample VideosNastępnie po upływie godziny powoduje samoczynną awarię systemu i jego ponowne uruchomienie - wtedy usuwa wszystkie pliki z wymienionych lokalizacji. Wykryto również, że szkodnik ma powiązanie z następującymi lokalizacjami
Kod:
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\firefox32.exe
%Temp%\[folder].tmp\
%Temp%\[folder].tmp\chrst.exe
%Temp%\[folder].tmp\ErOne.vbs
%Temp%\[folder].tmp\firefox32.exeJeden z badaczy w dalszych analizach wskazał na ważny punkt w działaniu szkodnika - automatyczny restart po awarii - dlatego zalecił wyłączenie tej opcji, o czym poniżej
[Aby zobaczyć linki, zarejestruj się tutaj]
Źródło
[Aby zobaczyć linki, zarejestruj się tutaj]
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
