Выпущен новый вариант программы-вымогателя EMPTY CryptoMix

Вчера команда MalwareHunterTeam обнаружила новый вариант вымогателя CryptoMix, который добавляет расширение .EMPTY к именам зашифрованных файлов. Учитывая, что предыдущий вариант использовал ERROR как предыдущее расширение, а теперь использует пустой, ясно, что у разработчиков заканчиваются идеи для расширений.

В этой статье будет представлено краткое описание того, что изменилось в этом новом варианте. Поскольку мы всегда ищем слабые места, если вы стали жертвой этого варианта и решили заплатить выкуп, пришлите нам дешифратор, чтобы мы могли его изучить. Вы также можете обсудить или получить поддержку по заражению программ-вымогателем Cryptomix в специальной теме справки и поддержки Cryptomix.

Изменения в варианте EMPTY Cryptomix Ransomware

Хотя в целом методы шифрования в этом варианте остались прежними, есть некоторые отличия. Прежде всего, у нас есть новое примечание о выкупе с именем файла _HELP_INSTRUCTION.TXT . Эта записка с требованием выкупа содержит инструкции, как связаться с empty01@techmail.info , empty02@yahooweb.co или empty003@protonmail.com для получения информации об оплате.

Следующее заметное изменение – это расширение, добавляемое к зашифрованным файлам. В этой версии, когда файл зашифрован программой-вымогателем, она изменит имя файла, а затем добавит расширение .EMPTY к имени зашифрованного файла. Например, тестовый файл, зашифрованный этим вариантом, имеет зашифрованное имя файла 0D0A516824060636C21EC8BC280FEA12.EMPTY.

Этот вариант также содержит 11 открытых ключей шифрования RSA-1024, которые будут использоваться для шифрования ключа AES, используемого для шифрования файлов жертвы. Это позволяет программе-вымогателю работать полностью в автономном режиме без подключения к сети. Удивительно, но 11 открытых ключей RSA в комплекте с этим вариантом совпадают с вариантом ERROR Cryptomix Ransomware .

Поскольку это всего лишь беглый анализ этого нового варианта, если что-то еще обнаружится, мы обязательно обновим эту статью.

По материалам: https://socamp.ru/

KRISTMAS.RU