Показано с 1 по 1 из 1.

Вымогатель CryPy использует уникальный ключ для каждого файла

  1. #1
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,043
    Вес репутации
    1254

    Вымогатель CryPy использует уникальный ключ для каждого файла

    Исследователи Лаборатории Касперского предупреждают о появлении нового семейства вымогателей CryPy, написанных на Python. Отличается это семейство тем, что использует уникальный ключ для каждого шифруемого файла.

    CryPy не первый вымогатель, написанный на Python, до него были HolyCrypt, Fs0ciety Locker и другие. Тем не менее, выделяется новый шифровальщик именно тем, что использует уникальные ключи для каждого зашифрованного файла и использует израильский сервер для управления.

    Уязвимость в системе управления содержимым (CMS) Magento позволила злоумышленникам загрузить PHPShell-скрипт и использовать скомпрометированный сервер как командный центр вымогателя. Кроме того, они использовали сервер для фишинговых атак.

    Исполняемая часть вымогателя, написанная на Python состоит из двух основных файлов: boot_common.py и encryptor.py. Эксперты Лаборатории Касперского объясняют, что первый файл отвечает за логирование ошибок, в то время как второй как раз является самим шифровальщиком.

    В ходе анализа экспертами вымогатель не стал шифровать файлы на зараженном компьютере, это произошло предположительно потому, что злоумышленники мигрировали на новый сервер.

    Попав на целевую машину, шифровальщик отключает ряд функций. В том числе диспетчер задач, инструменты реестра, восстановление.

    CryPy отправляет данные в командный центр, используя незащищенный протокол HTTP, в открытом виде, что позволяло легко проанализировать трафик. Код Python содержит жесткие вызовы PHP-скриптов в виде запроса GET.

    Среди передаваемой в командный центр информации эксперты наши следующую: информация о системе, узле, версии компьютера и процессора, IP-адрес и уникальный идентификатор жертвы.

    Командный центр отвечает ключом шифрования, создавая уникальный маркер для каждого файла. Злоумышленники могут предоставить пользователям возможность расшифровать пару файлов беплатно.

  2. Реклама
     

Похожие темы

  1. Ответов: 0
    Последнее сообщение: 27.08.2016, 16:00
  2. Ответов: 0
    Последнее сообщение: 26.07.2016, 12:10
  3. Вымогатель RAA использует для работы только JavaScript
    От CyberWriter в разделе Другие новости
    Ответов: 0
    Последнее сообщение: 16.06.2016, 01:12
  4. Ответов: 0
    Последнее сообщение: 25.02.2016, 12:20
  5. Ответов: 12
    Последнее сообщение: 07.06.2015, 12:16

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01595 seconds with 18 queries