Перейти к содержанию

Ransomware, судя по всему, разновидность Djvu

Andrey Ramazanov
 Поделиться

Рекомендуемые сообщения

Andrey Ramazanov Новичок

Andrey Ramazanov

Опубликовано
Опубликовано

Добрый день!

 

Все медиа файлы на ПК были зашифрованы с расширением .mosk, судя по readme файлу, текст один в один совпадает с Djvu (Лог и примеры файлов в приложении):

 

ATTENTION!
 
Don't worry, you can return all your files!
All your files like photos, databases, documents and other important are encrypted with strongest encryption and unique key.
The only method of recovering files is to purchase decrypt tool and unique key for you.
This software will decrypt all your encrypted files.
What guarantees you have?
You can send one of your encrypted file from your PC and we decrypt it for free.
But we can decrypt only 1 file for free. File must not contain valuable information.
You can get and look video overview decrypt tool:
Price of private key and decrypt software is $980.
Discount 50% available if you contact us first 72 hours, that's price for you is $490.
Please note that you'll never restore your data without payment.
Check your e-mail "Spam" or "Junk" folder if you don't get answer more than 6 hours.
 
To get this software you need write on our e-mail:
restoredatahelp@firemail.cc
 
Reserve e-mail address to contact us:
gorentos@bitmessage.ch
 
Прошу помощи с расшифровкой, заранее спасибо за ответ.

CollectionLog-2019.11.11-13.49.zip

Mosk files.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteRepair(13);
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

+

Сделайте, пожалуйста, экспорт этого ключа реестра:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\ROOT\Certificates\3BC6DCE00307BD676041EBD85970C62F8FDA5109]

Ссылка на комментарий
Поделиться на другие сайты
Andrey Ramazanov Новичок

Andrey Ramazanov

Опубликовано
  • Автор
Опубликовано

Спасибо,

 

Высылаю запрошенные логи. 

Попробовал еще https://decrypter.emsisoft.com/submit/stopdjvu/

Не помогло.


+ ключ реестра


+ ключ реестра

Addition.txt

FRST.txt

3BCreg.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Пока готовлю скрипт, проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

+

Через Панель управления - Удаление программ - удалите нежелательное ПО:

SpyHunter 5

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
Startup: C:\Users\Pyush Dhingra\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs [2017-11-27] () [File not signed]
Startup: C:\Users\Pyush Dhingra\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\z.vbs [2017-11-27] () [File not signed]
GroupPolicy: Restriction ? <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
Task: {09FA131A-4C13-4EBC-AFF6-1EBF92215E63} - System32\Tasks\Remediation\AntimalwareMigrationTask => C:\Program Files\Common Files\AV\Norton Internet Security\Upgrade.exe [3057872 2015-11-23] (Symantec Corporation -> Symantec Corporation)
Task: {0C9A7B55-A19E-41A7-87CC-D76F27E09468} - System32\Tasks\{5A7763C1-03A9-099A-39C9-003858EFACEA} => C:\Users\PYUSHD~1\AppData\Roaming\Kifotase\SyncTask.exe <==== ATTENTION
Task: {B2E001B6-0F12-4C9E-B846-177E5DC76438} - System32\Tasks\{5ADC5298-8361-09FF-F77D-0E8A0D0FB7D3} => C:\Users\PYUSHD~1\AppData\Local\{AE369~1\UPDATE~1.EXE <==== ATTENTION
Task: C:\windows\Tasks\{573E33A3-07EF-E1B8-7D7F-5E637FB166B2}.job => C:\PROGRA~2\COMMON~1\Pilep\updtask.exe <==== ATTENTION
Task: C:\windows\Tasks\{5A7763C1-03A9-099A-39C9-003858EFACEA}.job => C:\Users\PYUSHD~1\AppData\Roaming\Kifotase\SyncTask.exe <==== ATTENTION
Task: C:\windows\Tasks\{5ADC5298-8361-09FF-F77D-0E8A0D0FB7D3}.job => C:\Users\PYUSHD~1\AppData\Local\{AE369~1\UPDATE~1.EXE <==== ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://in.search.yahoo.com/yhs/web?hspart=arh&hsimp=yhs-001&type=zxy_736248b4cd607d1e68&param1=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%3D&param2=MaRcNap7NaZ6
SearchScopes: HKLM -> {2f23ab71-4ac6-41f2-a955-ea576e553146} URL = hxxps://in.search.yahoo.com/yhs/search?hspart=iry&hsimp=yhs-fullyhosted_003&type=wbf_fs_16_36&param1=1&param2=f%3D4%26b%3DIE%26cc%3Din%26pa%3DWincy%26cd%3D2XzuyEtN2Y1L1QzuyB0EyB0AzytCyBtA0E0D0C0Bzz0EtDtBtN0D0Tzu0StCyBtCtCtN1L2XzutAtFtByEtFyCtFzytN1L1Czu1BtAtN1L1G1B1V1N2Y1L1Qzu2StAyEyDyCtBtByC0FtGyBtAtB0CtG0FyB0CzytGyByEyDzztG0B0ByC0AtAzy0ByC0DyDtCyB2QtN1M1F1B2Z1V1N2Y1L1Qzu2S0AyDyByDzyyD0DyDtGzz0AtBtBtGyE0CtA0CtGzyyB0DtBtG0EtDtB0CtA0AtAzz0D0FyEzz2QtN0A0LzuyE%26cr%3D1650603753%26a%3Dwbf_fs_16_36%26os_ver%3D6.2%26os%3DWindows%2B8%2BPro&p={searchTerms}
SearchScopes: HKLM -> {f79e5d1c-5148-469e-9f98-a11d8d7863f4} URL = hxxps://in.search.yahoo.com/yhs/search?hspart=arh&hsimp=yhs-001&type=zxy_1bc2d13c0d9dba3154&param1=ArFaIWJoNqArQGMVHFFoNqAqBbFaITofQGR7xTVoN9I4y7IsQGR7B7JoN9JbDSk8vFE9GqQANFdcFCk8vFRdICoXNVU3vCIWvFQ9JGYUNVJdJaYXvmldICIVwVQ9GqYVNUI3wGYGwVQ9J6oVvFI9GqUNNos3wCIYwVA9Jmk4wVA4ICITvFI4J6ILNFdcJ6k8wV5cGWUSNFRcEqULNopcGWUIvmFbF6oVvFE3vCoVNVI4J6IVwVU9I6oVvmldImIXwVxdIqYUwVI4ISISvFE3vmoVwVI9I6k3NVNdIqYUvFI9JmIYNVE9JGYWNVBdJGQIwV5cGGUTNFRbDqUDNF5bDGUNNEU3wGQGNVU4ISoXvFI3vCoVNVI4ISISvmldJCIXwVQ9I6oUNVM9JGYWwVw3vCoXNVI9JmISNVE9ISIXNVM9JGYYwVU3vqYVNVA4ICk3NoU9GqYYNVc3wCoUQGR7B6RoN9JaLWZ8NWR7NqFoNqAsQGMVvDIlC6MuNGwuMWwuyDorQGR7y6MuwnEbQGMVMr5bQGR7y6NoN9ICzD4py6waQGQXLXFbJoYbyd%3D%3D&param2=NqZ5MqxbNGN4Nd%3D%3D&p={searchTerms}
SearchScopes: HKLM -> {f7bb050c-e116-44da-89c2-6f2b68c54836} URL = hxxps://in.search.yahoo.com/yhs/search?hspart=elm&hsimp=yhs-001&type=hdr_s_17_44_wbf_fs_16_36&param1=1&param2=f%3D4%26b%3DIE%26cc%3Din%26pa%3Dhodor%26cd%3D2XzuyEtN2Y1L1QzuyB0EyB0AzytCyBtA0E0D0C0Bzz0EtDtBtN0D0Tzu0StBtCtAyEtN1L2XzutAtFtAtBtFtCtFyCyDtN1L1Czu1M1Q1CtAtBtFtAtFtDtN1L1G1B1V1N2Y1L1Qzu2SyDzyzyyD0FyDtC0EtGyCtBtAzztG0F0EtA0AtGtDtDyCzztG0C0AtC0AtB0FtCyDzy0CzzyE2QtN1M1F1B2Z1V1N2Y1L1Qzu2S0AyDyByDzyyD0DyDtGzz0AtBtBtGyE0CtA0CtGzyyB0DtBtG0EtDtB0CtA0AtAzz0D0FyEzz2QtN0A0LzuyEtN0D0T0S1P1RzutCyDtDzyyByBtBtCtCyC%26cr%3D1459878440%26a%3Dhdr_s_17_44_wbf_fs_16_36%26os_ver%3D6.2%26os%3DWindows%2B8%2BPro&p={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope value is missing
Toolbar: HKU\S-1-5-21-390769031-1403283682-3733753646-1005 -> No Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} -  No File
FF Homepage: Mozilla\Firefox\Profiles\r2xqwjxm.default -> hxxps://in.search.yahoo.com/yhs/web?hspart=arh&hsimp=yhs-001&type=zxy_736248b4cd607d1e68&param1=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%3D%3D&param2=NGZ9MGVbLGxcLZ%3D%3D
CHR DefaultSearchURL: Default -> hxxp://srchbar.com/?q={searchTerms}
CHR DefaultSuggestURL: Default -> hxxp://srch.bar/?s={searchTerms}
CHR Notifications: Default -> hxxps://cam.mycii.in; hxxps://mockup.love; hxxps://www.facebook.com
CHR HKLM\...\Chrome\Extension: [ehlceeijggpdgfcefmipcmdelickjgfg]
CHR HKLM\...\Chrome\Extension: [elmkjjfkkchohaaoljobaffjeedcoocj]
CHR HKLM\...\Chrome\Extension: [kofkpgiaknijknhajbhnghkodiccblkg]
CHR HKLM\...\Chrome\Extension: [ncadhpiimldiaggdmgilboibgpkamcdf] - C:\Users\Pyush Dhingra\AppData\Local\Google\Chrome\User Data\Default\Extensions\ncadhpiimldiaggdmgilboibgpkamcdf.crx <not found>
CHR HKLM\...\Chrome\Extension: [pbofdmdkmmhmgmiecoaofbgfdahcdflp]
CHR HKLM\...\Chrome\Extension: [pilplloabdedfmialnfchjomjmpjcoej]
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj]
CHR HKLM-x32\...\Chrome\Extension: [ehlceeijggpdgfcefmipcmdelickjgfg]
CHR HKLM-x32\...\Chrome\Extension: [elmkjjfkkchohaaoljobaffjeedcoocj]
CHR HKLM-x32\...\Chrome\Extension: [kofkpgiaknijknhajbhnghkodiccblkg]
CHR HKLM-x32\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl]
CHR HKLM-x32\...\Chrome\Extension: [ncadhpiimldiaggdmgilboibgpkamcdf] - C:\Users\Pyush Dhingra\AppData\Local\Google\Chrome\User Data\Default\Extensions\ncadhpiimldiaggdmgilboibgpkamcdf.crx <not found>
CHR HKLM-x32\...\Chrome\Extension: [pbofdmdkmmhmgmiecoaofbgfdahcdflp]
CHR HKLM-x32\...\Chrome\Extension: [pilplloabdedfmialnfchjomjmpjcoej]
VirusTotal: C:\Users\Pyush Dhingra-1\AppData\Local\system.exe
VirusTotal: C:\windows\system32\drivers\895f500.sys
HKU\S-1-5-21-390769031-1403283682-3733753646-1005\...\ChromeHTML: ->  <==== ATTENTION
ShellExecuteHooks: No Name - {6710C780-E20E-4C49-A87D-321850ED3D7C} -  -> No File
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
AlternateDataStreams: C:\windows:CM_1ef8fa54f502b2d8c1de3b224c6c8a29a66cd23b1d7834c076bc223a75fc0595 [74]
AlternateDataStreams: C:\windows:CM_7a006d9fada2741e972e17deb3c5532f6176dab280fea1ea7677ec8a1b01e521 [74]
AlternateDataStreams: C:\windows:nlsPreferences [514]
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Почему делали в безопасном режиме?

 

Дополнительно, пожалуйста:

 

Отключите до перезагрузки антивирус.

Выделите следующий код:

Start::
Zip: c:\FRST\Quarantine\
End::
Скопируйте выделенный текст (правой кнопкой - Копировать).

Запустите FRST (FRST64) от имени администратора.

Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

 

На рабочем столе появится архив Date_Time.zip (Дата_Время)

Отправьте его на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Ссылка на комментарий
Поделиться на другие сайты
Andrey Ramazanov Новичок

Andrey Ramazanov

Опубликовано
  • Автор
Опубликовано

Файл

C:\Users\Pyush Dhingra\AppData\Local\system.exe

если присутствует, загрузите на www.virustotal.com и покажите ссылку на результат.

 

Файл отсутствует.

Я правильно понимаю, что расшифровать файлы, судя по всему, вряд ли получится? 

По описанию в данном топике https://www.bleepingcomputer.com/forums/t/671473/stop-ransomware-stop-puma-djvu-promo-drume-help-support-topic/?do=findComment&comment=4442422

Если id заканчивается на t1 (не данный случай), то это оффлайн id. В случае же онлайн id перспектив не много?

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

расшифровать файлы, судя по всему, вряд ли получится?

Да, шансов мало. Подождите ещё некоторое время, подключил коллег.

 

Подтверждаю, помочь нечем. Но уточню, тут клуб энтузиастов, а есть ещё тех-поддержка.

При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Ссылка на комментарий
Поделиться на другие сайты
Andrey Ramazanov Новичок

Andrey Ramazanov

Опубликовано
  • Автор
Опубликовано

Высылаю лог, но судя по всему уже проще перезалить ноутбук на Windows 10 и пытаться восстанавливать файлы из почты и т.п.

Как оказалось, у пользователя еще и сняли деньги с карты в тот же день как он заметил зашифрованные файлы (видимо, перехват был через одно из расширений хрома). 

Но связан ли шифровальщик с расширением - непонятно.

 

 

SecurityCheck.txt

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Warlocktv
      Ransomware Phobos
      Автор Warlocktv
      Добрый день,
      Через RDP словили шифровальщик Phobos (на основании ID Ransomware https://id-ransomware.malwarehunterteam.com/identify.php?case=52c4281ece07330467137e30a150ae4130e52132).
      Отчеты Recorded Future Triangle https://tria.ge/241216-tdxdrsvpek и Joe Sand Cloud https://www.joesandbox.com/analysis/1576226/1/executive.
      Зараженные системы удалены. Остались зараженные файлы которые требуется дешифровать. Необходима помощь. В архиве два зараженных файла и сообщения от шифровальщиков.Encrypted.zip
    • specxpilot
      proton ransomware Не появилась ли возможность рашифровать?
      Автор specxpilot
    • KL FC Bot
      Ransomware-группировка использует ClickFix для атак на компании
      Автор KL FC Bot
      Ransomware-группировка Interlock начала использовать технику ClickFix для проникновения в инфраструктуру своих жертв. В одном из недавних постов мы уже рассказывали об общей идее ClickFix, а сегодня поговорим о конкретном примере использования этой тактики одной из группировок. Исследователи кибербезопасности обнаружили, что Interlock использует поддельную CAPTCHA якобы от Cloudflare на странице, маскирующейся под сайт Advanced IP Scanner — популярного бесплатного сетевого сканера.
      Исходя из этого можно предположить, что атаки нацелены на ИТ-специалистов, работающих в потенциально интересующих группировку организациях. Судя по всему, Interlock находится на этапе тестирования новых инструментов, в частности техники ClickFix.
      Как Interlock использует ClickFix для распространения вредоносного ПО
      Злоумышленники из Interlock заманивают жертву на страницу, адрес которой имитирует адрес сайта Advanced IP Scanner. Описавшие атаку исследователи нашли одну и ту же страницу, размещенную по нескольким адресам в Сети.
      При переходе по ссылке пользователь видит извещение о необходимости пройти CAPTCHA, якобы от Cloudflare. В сопутствующем тексте мошенники рассказывают жертве о том, что Cloudflare «помогает компаниям восстановить контроль над своими технологиями». За этим достаточно типичным бизнесовым текстом, скопированным со страницы «Что такое Cloudflare?» настоящего веб-сайта компании, следует указание: нажать сочетание [Win] + [R], затем [Ctrl] + [V] и, наконец, [Enter]. После этой инструкции находятся кнопки Fix it (Исправить проблему) и Retry (Повторить попытку).
      Внизу следует объяснение: якобы ресурс, на который пытается войти жертва, должен проверить безопасность соединения.
      На практике, когда жертва нажимает кнопку Fix it, в буфер обмена автоматически копируется вредоносная команда
      PowerShell. После этого пользователь сам открывает консоль с помощью сочетания клавиш [Win] + [R] и сам же вставляет эту команду через [Ctrl] + [V]. После нажатия [Enter] вредоносная команда выполняется.
      В результате выполнения команды на компьютер жертвы загружается 36-мегабайтный файл поддельного установщика PyInstaller,. Для отвлечения внимания жертвы при этом в браузере открывается окно с настоящим сайтом Advanced IP Scanner.
       
      View the full article
    • KL FC Bot
      Ландшафт ransomware в 2025 году и новые причины не платить
      Автор KL FC Bot
      12 мая — Всемирный день борьбы с шифровальщиками. В 2025 году в этот памятный день, учрежденный Интерполом и «Лабораторией Касперского», мы хотим обсудить тенденции, которые прослеживаются в ransomware-инцидентах и служат доказательством того, что с каждым годом идея вести переговоры со злоумышленниками и совершать переводы в криптовалюте становится все хуже.
      Низкое качество расшифровщиков
      Когда инфраструктура компании зашифрована в результате атаки, бизнес в первую очередь хочет вернуться к нормальной деятельности, как можно быстрее восстановив данные на рабочих станциях и серверах. Из записок вымогателей может сложиться впечатление, что после оплаты компания получит приложение, которое быстро вернет всю информацию на свои места и можно будет практически безболезненно продолжить работу. На практике этого почти никогда не случается.
      Во-первых, часть вымогателей просто обманывает своих жертв и вообще не присылает расшифровщик. Такие случаи стали широко известны, например благодаря утечке внутренней переписки вымогателей Black Basta.
      Во-вторых, бизнес вымогателей — это шифрование, а не расшифровка, поэтому написанию декрипторов уделяется минимум внимания: они плохо и медленно работают. Может оказаться, что восстановление данных из резервной копии пройдет значительно быстрее, чем восстановление при помощи утилиты злоумышленников. Часто присланные вымогателями расшифровщики сбоят при встрече с экзотическими именами файлов, из-за конфликтов прав доступа или просто без видимой причины и при этом не имеют механизма продолжения расшифровки с того места, где она прервалась. Иногда, из-за некорректной обработки, они просто портят файлы.
      В результате образовался целый сегмент ИТ-бизнеса — нормальная расшифровка. Легитимные компании берут полученный от вымогателей сырой расшифровщик и переписывают его так, чтобы он работал нормально. Но быстро найти такую компанию и дождаться улучшенную версию утилиты — опять потери денег и времени.
       
      View the full article
    • KL FC Bot
      Ransomware-группировка Fog публикует IP-адреса жертв | Блог Касперского
      Автор KL FC Bot
      Мы внимательно следим за изменениями тактик злоумышленников. Недавно эксперты Глобального центра исследования и анализа угроз Kaspersky GReAT обратили внимание, что после атак шифровальщика-вымогателя Fog преступники публикуют не только украденные данные жертв, но и IP-адреса пострадавших компьютеров. Ранее мы не замечали такой тактики у шифровальщиков. В данной статье рассказываем, почему это важно и какова цель этого приема.
      Кто такие Fog и чем они известны
      С тех пор как бизнес шифровальщиков-вымогателей стал превращаться в полноценную индустрию, у злоумышленников наблюдается четко оформленное разделение труда. Сейчас создатели шифровальщика и люди, стоящие непосредственно за атаками, чаще всего никак не связаны — одни разрабатывают платформу для шантажа, а другие просто покупают услуги по модели Ransomware-as-a-Service (RaaS).
      Fog Ransomware — одна из таких платформ, впервые замеченная в начале 2024 года. Их шифровальщики используются для атак на компьютеры под управлением Windows и Linux. Как это обычно происходит в последние годы, данные на атакованных машинах не только шифруются, но и закачиваются на серверы злоумышленников, а затем, если жертва отказывается платить, публикуются на Tor-сайте.
      Атаки с использованием Fog проводились против компаний, работающих в сферах образования, финансов и организации отдыха. Часто для проникновения в инфраструктуру жертвы преступники использовали ранее утекшие учетные данные для доступа через VPN.
       
      View the full article
×
×
  • Создать...