• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

    Внимание. Восстановление архивов RAR и ZIP, образов Acronis и виртуальных машин, баз почтовых программ после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Phantom: as is it

  • Автор темы Автор темы thyrex
  • Дата начала Дата начала

thyrex

Ассоциация VN/VIP
VIP
Сообщения
3,879
Реакции
2,431
Kozy.Jozy Ransomware
302.png
ориентирован на русскоязычных пользователей и отличился использованием алгоритма RSA-2048 в шифровании файлов
Есть модификация (или прародитель) с меньшим числом подверженных шифрованию типов файлов. У зашифрованных файлов добавляется расширение .phantom

Примеры тем:
Поймала вирус с расширением PHANTOM - Уничтожение вирусов
Шифровальщик с расширением phaentom [Hoax.Win32.ArchSMS.codmv ] (заявка № 201301)
 
Надо уточнить у Dragokas. Он на виртуалке запускал. По коду я не вижу установку картинки.
 
.phantom не устанавливает фон рабочего стола.
Вместо этого он помещает в автозапуск и на рабочий стол инфу для восстановления через почту:
ВНИМАНИЕ! Ваши файлы зашифрованы криптостойким алгоритмом RSA-2048! Отправьте на flsunlocker@yahoo.com один из зашифрованных файлов. Попытки самостоятельной расшифровки могут привести к безвозвратной порче данных! В письме укажите также ваш ID -
 
Dragokas, чего-то не то тестировал.
Процитированная фраза с почтой flsunlocker[@]yahoo.com относится к другому криптовымотелю — ZCrypt. И скопирована оттуда же.
Со дня публикации в блоге информации прошлый месяц. За это время можно 10 новых версий вымогателей выпустить.
Если это новая версия ZCrypt или его итерация phantom делают, то данная информация должна быть соответствующим образом оформлена и опубликована в соответствующей теме.

{Перенес посты в отдельную тему}
 
В блоге про ZCrypt всё написано:
в марте этого года, ZCrypt использовался для атак на русскоязычных пользователей, при этом был другой вариант записки с требованием выкупа ...более краткая записка на русском языке под названием !ИНСТРУКЦИЯ!.html
ВНИМАНИЕ! Ваши файлы зашифрованы криптостойким алгоритмом RSA-2048!
Отправьте на flsunlocker@yahoo.com один из зашифрованных файлов...
И далее. У мартовского варианта не было функционала сетевого червя, не было скринлока, текст записки совпадает.
Это не KozyJozy, и если это и не ZCrypt, и ранний ZCrypt, то точно какой-то Phantomas. :Biggrin:
Кидайте на gethub, посмотрим.
 
Назад
Сверху Снизу