Найден вымогатель, шифрующий файлы дистанционно

В отличие от других вымогательских программ, NamPoHyu Virus после запуска ищет доступные серверы Samba и шифрует данные на сетевых дисках, а не на зараженном компьютере.

Первые атаки нового шифровальщика были зафиксированы в прошлом месяце — на тот момент зловред носил имя MegaLocker Virus. Отыскав подходящий Samba-сервер, он пытался подобрать пароль для доступа и в случае успеха начинал удаленно шифровать файлы.

Установлено, что шифрование в данном случае производится 128-битным ключом AES в режиме CBC. К имени модифицированных файлов MegaLocker добавляет расширение .crypted. Зловред также создает записку с требованием выкупа — !DECRYPT_INSTRUCTION.TXT, которую помещает во все папки с зашифрованными файлами.

За возможность возврата данных операторы MegaLocker требовали 250 долларов в биткойнах с физических лиц и $800 с юридических. Чтобы доказать, что жертва — частное лицо, она должна была вместе с ID выслать на адрес @firemail.cc свое фото, сделанное во время праздника, занятия любимым делом и т. п.. Вымогатели также выражали готовность бесплатно расшифровать пару файлов — для пробы.

В начале апреля зловред был переименован в NamPoHyu Virus и сменил расширение, добавляемое к зашифрованным файлам (теперь оно отражает его новое название — .NamPoHyu). Имя файла с требованием выкупа осталось прежним, а текст сообщения несколько изменился. В нем теперь нет контактного email-адреса, вместо этого жертве предлагают загрузить Tor Browser и через него зайти на страницу с дальнейшими инструкциями.

Эксперт Лоуренс Абрамс (Lawrence Abrams) из Bleeping Computer выяснил, что на onion-странице посетителям предоставляется все та же возможность проверить эффективность дешифратора до оплаты, с указанием того же контактного адреса (@firemail.cc). В txt-записке вымогатели подчеркивают: «У нас нет причин обманывать вас после получения выкупа, мы же не варвары и не враги собственному бизнесу».

Сумма выкупа для частных лиц осталась прежней, для организаций повысилась до $1000. Жертвам также ограничили время оплаты десятью днями с момента пробной расшифровки.

Поиск через Shodan, проведенный в Bleeping Computer, показал свыше 500 тыс. Samba-серверов, открытых для злоупотреблений. Треть из них хостится в России.

Для оказания помощи жертвам заражения NamPoHyu/MegaLocker на форумах Bleeping Computer открыта новая тема. По данным Абрамса, способ восстановления файлов, зашифрованных этим зловредом, уже найден, так что в скором времени можно ожидать появление бесплатного декриптора.

Источник: https://threatpost.ru/nampohyu-ransomware-encrypts-files-remotely/32367/