SNS-amigo
SNS System Watch Freelance reporter
- Сообщения
- 4,897
- Реакции
- 6,522
Шифровальщик-вымогатель BadBlock Ransomware
Описание данного вымогателя было составлено мною в блоге еще несколько дней назад, я ждал хоть какой-то информации от антивирусных компаний о реальном или предполагаемом распространении. Тщетно. Лишь TrendMicro обмолвились короткой фразой, не сообщив для меня ничего нового.
BadBlock шифрует данные с помощью алгоритма AES-256 (CBC-режим, RSA-2048 ключ), а затем требует 2 биткоина (~$900) за расшифровку. К зашифрованным файлам никакое расширение не добавляется. Данные шифруются на всех имеющихся в системе дисках, в том числе и съемных накопителях.
Записки о выкупе Help Decrypt.html и Help_Decrypt.txt размещаются в каждой папке с зашифрованными файлами. Обои сменяются на изображение Help_Decrypt.png с аналогичным текстовым содержанием и красным фоном. Выкуп требуется отправить на указанный в записке BTC-адрес. Вымогатели рекомендуют отключить антивирус, дабы он не удалил их детище прежде, чем все файлы будут расшифрованы.
Способы распространения: email-спам и вредоносные вложения, фишинг-рассылки и ссылки на зараженные сайты, вредоносный JavaScript, фейк-обновления Adobe Flash Player.
Список файловых расширений, подвергающихся шифрованию:
.png, .jpeg, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt, .pptm, .pptx, .ppt, .xlsb, .xlsm, .xlsx, .xls, .zip, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .lbf, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .sql, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .xlk, .wps...
Windows 10 также подвержена атаке этого шифровальщика.
Источник:
Шифровальщик-вымогатель BadBlock Ransomware
Описание данного вымогателя было составлено мною в блоге еще несколько дней назад, я ждал хоть какой-то информации от антивирусных компаний о реальном или предполагаемом распространении. Тщетно. Лишь TrendMicro обмолвились короткой фразой, не сообщив для меня ничего нового.
BadBlock шифрует данные с помощью алгоритма AES-256 (CBC-режим, RSA-2048 ключ), а затем требует 2 биткоина (~$900) за расшифровку. К зашифрованным файлам никакое расширение не добавляется. Данные шифруются на всех имеющихся в системе дисках, в том числе и съемных накопителях.
Записки о выкупе Help Decrypt.html и Help_Decrypt.txt размещаются в каждой папке с зашифрованными файлами. Обои сменяются на изображение Help_Decrypt.png с аналогичным текстовым содержанием и красным фоном. Выкуп требуется отправить на указанный в записке BTC-адрес. Вымогатели рекомендуют отключить антивирус, дабы он не удалил их детище прежде, чем все файлы будут расшифрованы.
Способы распространения: email-спам и вредоносные вложения, фишинг-рассылки и ссылки на зараженные сайты, вредоносный JavaScript, фейк-обновления Adobe Flash Player.
Список файловых расширений, подвергающихся шифрованию:
.png, .jpeg, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt, .pptm, .pptx, .ppt, .xlsb, .xlsm, .xlsx, .xls, .zip, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata, .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, .mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .lbf, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta, .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, .apk, .re4, .sav, .sql, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, .js, .css, .rb, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2, .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .xlk, .wps...
Windows 10 также подвержена атаке этого шифровальщика.
Источник:
Шифровальщик-вымогатель BadBlock Ransomware