Analitycy odkryli ransomware udający program SpyHunter5, czyli narzędzie do ochrony przed złośliwym oprogramowaniem. Ransomware wykorzystuje logo SpyHuntera jako swoją ikonę. Opisywany złośliwiec reprezentuje rodzinę GarrantyDecrypt.
reklama
Powszechną praktyką jest upodabnianie się przez złośliwe oprogramowanie do dobrze znanych programów w celu przyciągnięcia uwagi użytkowników. Jednak ten ransomware idzie o krok dalej i udaje, że to faktycznie aplikacja SpyHunter zaszyfrowała system. Opisywane oprogramowanie reprezentuje rodzinę GarrantyDecrypt. Pierwszą wzmiankę o nim zamieścił Michael Gillespie na Twitterze w październiku 2018 roku.
Większość rodzin złośliwego oprogramowania typu ransomware posiada listę rozszerzeń plików umożliwiającą wyszukiwanie dokumentów osobistych, kopii zapasowych oraz zdjęć do zaszyfrowania. GarrantyDecrypt rzadko bierze na celownik wszystkie pliki, nie zwracając uwagi na ich rozszerzenia. Oznacza to, że zaszyfruje również na przykład pliki wykonywalne. Do zaszyfrowanych plików dodaje rozszerzenie „.spyhunter”, a w zaatakowanych folderach zamieszcza notatkę $HOWDECRYPT$.txt z informacją o okupie.
GarrantyDecrypt wykorzystuje CryptoAPI i RSA. Tak jak większość rodzin ransomware, oprogramowanie, z którym mamy do czynienia usuwa kopie woluminów w tle, tym samym uniemożliwiając odzyskanie plików. GarrantyDecrypt sprawdza domyślny język systemu. Jeśli jest to rosyjski, ukraiński, kazachski, białoruski lub tatarski, żadne pliki nie zostaną zaszyfrowane, a złośliwe oprogramowanie wyłączy się.
Źródło: G DATA
Aktualności
|
Porady
|
Gościnnie
|
Katalog
Bukmacherzy
|
Sprawdź auto
|
Praca
biurowirtualnewarszawa.pl wirtualne biura w Śródmieściu Warszawy
Artykuł może w treści zawierać linki partnerów biznesowych
i afiliacyjne, dzięki którym serwis dostarcza darmowe treści.
*
|
|
|
|
|
|