Вирус- вымогатель Crypto. Bot сдаёт своих жертв через Twitter / Блог компании Positive Technologies / Хабрахабр. Вирусы- вымогатели, которые шифруют файлы пользователей, требуя денег за расшифровку, терроризируют Интернет уже не первый год. Однако в нынешнем октябре они разбушевались не на шутку – очевидно, совершив новый эволюционный скачок в области автоматизации. В начале месяца массовому заражению криптолокером подверглись сотрудники крупнейшей австралийской вещательной компании ABC, а и также почтовые и другие государственные службы страны. В середине месяца более 1.
Ну а в последние дни октября случилась активизация опасного шифровальщика в российском сегменте Интернета. Пользователи получают по почте вредоносный файл, который представляет собой обфусцированный Java. Script размером 2. MD5 ea. 83. 46. 05f.
Владимир Знаток (359), на голосовании 8 лет назад.
При запуске троян загружает из Интернета и запускает дополнительные компоненты: Описание вируса присутствует на Virustotal, там же в комментариях приводится и деобфусцированная версия скрипта. Можно заметить, что файл неоднократно загружался на ресурс 2. А вот как выглядят имена зараженных файлов, приходящих в почте – в основном они изображают деловые документы, причём якобы проверенные антивирусом (Avast. Scanned. OK)После того, как пользователь откроет приложенный файл и запустит вредоносный скрипт, его информируют о том, что его документы, фото, базы данных, а также другие важные файлы «были зашифрованы с использованием криптостойкого алгоритма RSA- 1.
Далее пользователю предлагается подробная инструкция по спасению своих цифровых активов, которая сводится к следующему набору действий: Ваши файлы зашифрованы. Отправьте нам письмо с KEY и UNIQUE в течение суток. Нашли KEY. PRIVATE и UNIQUE. KEY на своем ПК, взяли пару зашифрованных файлов — отправили на почту paycrypt@gmail. Через некоторое время получаете ответ с гарантиями, инструкцией и стоимостью.
Windows Script Host (WSH; первоначально назывался Windows Scripting Host, был переименован ко второму выпуску) — компонент Microsoft Windows, предназначенный для запуска сценариев на скриптовых языках JScript и VBScript, а также и wscript. К сожалению проблема повторилась - процесс wscript.exe периодически сильно грузит систему. Сделал логи как раз тогда, когда wscript.exe грузит процессор на 95- 100%. Пожалуйста помогите разобраться. Шаг 5: Используйте Восстановление системы Windows, чтобы 'Отменить' последние изменения в системе. Восстановление системы Windows позволяет вашему компьютеру 'отправиться в прошлое', чтобы исправить проблемы wscript.exe. Wscript.exe часто вызывает проблемы и необходим для Windows 10/8/7/XP. Нажмите здесь, чтобы узнать, как избежать ошибок и почему подлинный wscript.exe необходим для операционной системы.
Посмотрите, что все получают ключи. После оплаты получаете ключ дешифрования, ПО и инструкцию по дешифрованию.
Антивирус ess 4.2.64.12 процесс ekrn.exe грузит всю систему. Копия вируса – под именем system.
Наиболее интересным в этой инструкции является пункт 3, в котором указан Twitter- аккаунт, публично разглашающий информацию об адресах электронной почты жертв атак. Это не только позволяет продолжать монетизацию (например, с помощью рассылки спама на адреса жертв, часть из которых указывало служебные адреса электронной почты), но может и нанести существенный вред репутации пострадавших. В частности, некоторые исследователи уже занялись анализом списка жертв – среди них оказалось много IT- компаний, включая и такие, которые сами занимаются информационной безопасностью.
Как и в большинстве атак по электронной почте, в данном случае использовались версии вредоносного ПО, которое в момент атаки не детектировалось большинством антивирусов. В связи с этим эксперты Positive Technologies советуют не открывать письма с непонятными вложениями — даже от знакомых адресатов. А на инфраструктурном уровне, в дополнение к антивирусным решениям, рекомендуется применять специализированные песочницы для проверки входящей почты, а также ограничить получение почтовых вложений, содержащих исполняемый код, в том числе в архивах.