Heimdall PHP Ransomware
(шифровальщик-вымогатель, OSR, Eduware)
Этот крипто-вымогатель шифрует данные сервера с помощью AES-128 (режим CBC), а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название. Разработчик: Lenon Leite (Бразилия).
шифровальщик вирус-шифровальщик троян-шифровальщик aes крипто-вымогатель удалить восстановить файлы расшифровка расшифровать дешифровать дешифрование дешифровка алгоритм crypto-ransomware virus-encoder filecoder key ransom decrypt decryption recovery remove restore files data public private
© Генеалогия: OSR Heimdall.
К зашифрованным файлам добавляется расширение .sample
Образец этого OSR был выложен разработчиком на GitHub в начале ноября 2016 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.
Разработчик Heimdall хотел продемонстрировать техническую осуществимость и возможности PHP Ransomware в отношении шифрования и безопасности, по сравнению с другими языками программирования, такими как Python или Ruby.
Записка с требованием выкупа не была показана.
В видеоролике демонстрируется следующий экран.
Технические детали
Основные файлы удалены разработчиком из GitHub. Если проект будет кем-то модифицирован и продолжен, то может начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
Опасность ещё и в том, что Heimdall способен шифровать серверы прямо из коробки, с минимальными изменениями в основном коде.
!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Список файловых расширений, подвергающихся шифрованию:
Целью шифрования является папка $_SERVER['DOCUMENT_ROOT'] (каталог, где выполняется скрипт) и все найденные внутри неё папки с файлами.
Это наверняка могут быть документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.
Как только шифрование закончится, все файлы сервера, независимо от расширения, будут зашифрованы, а в их содержимое будет добавлен маркер «Heimdall ---», как показано на скриншоте ниже.
Файлы, связанные с этим Ransomware:
heimdall.php и другие
Расположения:
папка $_SERVER['DOCUMENT_ROOT']
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
См. ниже результаты анализов.
Результаты анализов:
Гибридный анализ >>
VirusTotal анализ >>
Другой анализ >>
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links: Tweet on Twitter ID Ransomware (ID as Heimdall) Write-up, Topic of Support *
- видеоролик от разработчика
Thanks: Catalin Cimpanu, BleepingComputer Michael Gillespie * *
© Amigo-A (Andrew Ivanov): All blog articles.
