Відразу ряд дослідників звернули увагу на появу нового шифрувальника Black Shades, який атакує як англомовних, так і російськомовних користувачів. Вимагач змінює розширення файлів на .silent, і просить за розшифровку даних всього $ 30. У исходниках шкідливий були знайдені рядки на кшталт «Hacked by Russian Hackers in Moscow Tverskaya Street», а також виявлений простий спосіб захисту від Black Shades.
"SilentShade" eng / rus ransomware encrypts with .silent extension and uses "Black Shades" name. $ 30 unlock fee. pic.twitter.com/BXJtYF2jFW
Першим Black Shades, ще два тижні тому, зауважив незалежний дослідник, відомий під псевдонімом Jack (@Malwareforme). Раніше Jack першим виявив хробака-здирника ZCryptor, про який Microsoft попередила користувачів через кілька днів.
Детально вивчити нового шифрувальника взялися експерти Bleeping Computer.
Кодування зловмисники використовували просту, за допомогою звичайного base64 дослідники зуміли розшифрувати їх «послання». Наприклад, рядок
розшифровується як «YoxcnnotcrackthisAlgorithmynare> idiot<», то есть «ТебеневзломатьэтотАлгортимты>ідіот<».
Ще один рядок:
Text5 розшифровується як «Hacked by Russian Hackers in Moscow Tverskaya Street», і цей пасаж навряд чи потребує перекладу.
Text6 розшифровується як «youaresofartocrackMe».
У цій особливості Black Shades криється простий спосіб боротьби з ним. Досить відкрити файл hosts (c: \ windows \ system32 \ drivers \ etc \ hosts) і додати в нього рядок 127.0.0.1 www.icanhazip.com. Якщо малваре не зможе з'єднатися з icanhazip.com, вона аварійно завершить роботу і виведе повідомлення про помилку (на ілюстрації нижче). Таким чином, робота шифрувальника перерветься, не встигнувши початися.
Поділися новиною з друзями: