Если вы не видите здесь изображений, то используйте VPN.

понедельник, 17 октября 2016 г.

JapanLocker, SHCLocker

JapanLocker Ransomware 

SHC Ransomware, SHCLocker


(шифровальщик-вымогатель)


   Этот крипто-вымогатель шифрует данные на сайтах, а затем требует связаться с вымогателями по email, чтобы вернуть сайт в прежнее состояние. Никакое расширение к зашифрованным файлам не добавляется.

К зашифрованным сайтам добавляется строка #LOCK#

Название дано самими вымогателями. Второе название было дано исследователями из Fortinet. Активность этого криптовымогателя пришлась на октябрь 2016 г. 

Записка о выкупе написана на веб-странице, встающей индексом заблокированного сайта. 


Содержание записки о выкупе:
This Site Has Been Locked!
Please Contact To Email japanlocker@hotmail.com To Unlock This Site Back.

Перевод записки на русский язык:
Этот сайт блокирован!
Свяжитесь по email japanlocker@hotmail.com для разблокировки сайта.

Мною обнаружена функция, скрытая в коде страницы. Если открыть исходный код страницы и прокрутить бегунок вниз до кода, скрывающего ссылку, а потом кликнуть по ней, то по веб-ссылке откроется изображение ключа.

Взламывается по протоколу удаленного рабочего стола, с помощью вредоносных плагинов для систем управления сайтов, имеющих скрытый функционал бэкдора. 

 Зашифрованные файлы будут иметь следующую структуру: 
[Path_to_encrypted_file]\#LOCK#\[Encrypted_file]
Структура зашифрованного файла по данным Fortinet



Исследователи из Fortinet досконально изучили этот вредонос, установили индонезийскую хакерскую группу Indonesia Defacer Tersakiti, осуществившую эту и подобные атаки на сайты и даже выпустили декриптор.

Группировка также специализируется на создании открытх вымогательских проектов (Ransomware open source) и выкладывает их от имени группы Bug7sec Team. 


Степень распространённости: низкая.
Подробные сведения собираются.


Внимание! 
Для зашифрованных сайтов есть декриптор

Read to links: 
Tweet on Twitter
ID Ransomware
Symantec: Ransom.SHCLocker  (add. on October 25, 2016)
Write-up on Fortinet (add. on October 20, 2016)
 Thanks: 
 Michael Gillespie
 Fortinet blog
 Symantec SR

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *