- Sākums
- Forumi
- Notepad.lv
- IT ziņas
- Ransom32 – "Rūdi, Rūdi, nu ir sūdi!"
Ransom32 – "Rūdi, Rūdi, nu ir sūdi!"
- This topic has 12 atbilde, 9 voices, and was last updated pirms 8 years, 3 months by
.
Tiek skatīts 1 ieraksts (no 13 kopumā)
-
Pazīstamais failu šifrētājs izspiedējvīruss Cryptolocker liksies bērnu spēle pret jauno 2016. gada monstru Ransom32. Pirmkārt, jaunums pārstāv moderno programmatūras klasi “Software as a Service†(SaaS). Pareizāk gan būtu teikt “Ransomware as a Serviceâ€. Otrkārt, tas uzrakstīts javaskriptā, izmantojot platformu NW.js (ex Node-WebKit). Konkrētais JavaScript paveids izpildās ārpus tradicionālās “smilškastes”, un var darīt visu to pašu, ko valodās C++ vai Delphi rakstīts softs. Treškārt, kaitēklis neaiztiek sistēmas failus, līdz ar to gandrīz visi antivīrusi ir bezspēcīgi. Bet tagad par visu pēc kārtas. Ja kāds vēlas nodarboties ar izspiešanu un pelnīt ar to, “darknetā” tiek piedāvāta Ransom32 mājaslapa ar partnerprogrammu. Tanī jāievada Bitcoin maciņa numurs, kuru izmantosim izspiešanas darbībām. Ransom32 izstrādātāji/servisa uzturētāji nav badakāši; par pakalpojumu tie iekasē 25% no ieņēmumiem.
[img]https://notepad.lv/userpix/28_vir_1.png [/img] Pēc tam klientam piedāvā improvizētu web vadības paneli, kurā viņš var konfigurēt un saņemt personalizētu Ransom32 kopiju palaišanai pasaulē. Turpat ir arī visa statistika. Ir arī ieteikumi: “Neesi par daudz mantkārīgs, citādi cilvēki nemaksās”. Noklusējuma izpirkuma maksa ir 0.1 BTC pirmās 4 dienas. Pēc tam tā pieaug līdz 1 BTC. Pēc nedēļas visas kriptēšanas atslēgas tiek dzēstas. Lai “klientam” būtu sajūta, ka viss ir nopietni, viņam ļauj 1 failu pēc izvēles dešifrēt par brīvu. Par pārējiem ir jāmaksā.
[img]https://notepad.lv/userpix/28_vir2_1.png [/img] Par visu padomātsRansom32 ir paslēpts SFX pašatpakojošā arhīvā ar nevainīgu, aizdomas neizraisošu izpildāmo failu Chrome.exe. No tā arī izriet varianti kā to klientiem iebarot. Izmērs ir atbilstošs un tāpat aizdomas neizraisošs – 22 MB. Pārējo arhīva failu nozīme:
“chrome†contains a copy of the GPL license agreement.
“chrome.exe†is a packaged NW.js application and contains the actual malware code as well as the framework required to run the malware.
“ffmpegsumo.dllâ€, “nw.pakâ€, “icudtl.dat†and “locales†contain data that are required by the NW.js framework to function properly.
“rundll32.exe†is a renamed copy of the Tor client.
“s.exe†is a renamed copy of Optimum X Shortcut, a utility to create and manipulate Desktop and start menu shortcuts.
“g†contains the malware’s configuration information as configured in the web interface.
“msgbox.vbs†is a small script that displays a customizable popup message and is used to display the configured message box.
“u.vbs†is a small script that enumerates, and deletes all files and folders in a given directory.
[img]https://notepad.lv/userpix/28_vir3_1.png [/img] Nepatīkamākais ir tas, ka NW.js ir izpildāms uz visām sistēmām, Linux un MacOS ieskaitot. Tā kā nav izslēgtas arī šīm sistēmām paredzētas versijas.
[img]https://notepad.lv/userpix/28_ran3_1.jpg [/img] Š obrīd vienīgais zināmais antivīruss, kurš spēj
atkostRansom32, ir Emsisoft
Tiek skatīts 1 ieraksts (no 13 kopumā)
- Jums ir jāpieslēdzas sistēmai, lai varētu komentēt šo tēmu.
Jaunākais portālā
Apskati
