• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Phantom: as is it

thyrex

Ассоциация VN/VIP
VIP
Сообщения
3,214
Реакции
2,657
Kozy.Jozy Ransomware
302.png
ориентирован на русскоязычных пользователей и отличился использованием алгоритма RSA-2048 в шифровании файлов
Есть модификация (или прародитель) с меньшим числом подверженных шифрованию типов файлов. У зашифрованных файлов добавляется расширение .phantom

Примеры тем:
Поймала вирус с расширением PHANTOM - Уничтожение вирусов
Шифровальщик с расширением phaentom [Hoax.Win32.ArchSMS.codmv ] (заявка № 201301)
 

Dragokas

Angry & Scary Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,782
Реакции
6,241
.phantom не устанавливает фон рабочего стола.
Вместо этого он помещает в автозапуск и на рабочий стол инфу для восстановления через почту:
ВНИМАНИЕ! Ваши файлы зашифрованы криптостойким алгоритмом RSA-2048! Отправьте на flsunlocker@yahoo.com один из зашифрованных файлов. Попытки самостоятельной расшифровки могут привести к безвозвратной порче данных! В письме укажите также ваш ID -
 

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,071
Реакции
7,049
Dragokas, чего-то не то тестировал.
Процитированная фраза с почтой flsunlocker[@]yahoo.com относится к другому криптовымотелю — ZCrypt. И скопирована оттуда же.
Со дня публикации в блоге информации прошлый месяц. За это время можно 10 новых версий вымогателей выпустить.
Если это новая версия ZCrypt или его итерация phantom делают, то данная информация должна быть соответствующим образом оформлена и опубликована в соответствующей теме.

{Перенес посты в отдельную тему}
 

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,071
Реакции
7,049
В блоге про ZCrypt всё написано:
в марте этого года, ZCrypt использовался для атак на русскоязычных пользователей, при этом был другой вариант записки с требованием выкупа ...более краткая записка на русском языке под названием !ИНСТРУКЦИЯ!.html
ВНИМАНИЕ! Ваши файлы зашифрованы криптостойким алгоритмом RSA-2048!
Отправьте на flsunlocker@yahoo.com один из зашифрованных файлов...
И далее. У мартовского варианта не было функционала сетевого червя, не было скринлока, текст записки совпадает.
Это не KozyJozy, и если это и не ZCrypt, и ранний ZCrypt, то точно какой-то Phantomas. :Biggrin:
Кидайте на gethub, посмотрим.
 
Сверху Снизу