Недавно Центр Безопасности 360 обнаружил новый вирус-вымогатель. Суффикс зашифрованного файла был «.FlyBox»,  мы назвали его « Вирус вымогателей YourFilesEncrypted ». Основной частью вымогателя YourFilesEncrypted является исполняемый файл, упакованный pyinstaller, который использует модуль python для шифрования файлов жертвы и удаляет теневую копию через запланированное задание, вымогая выкуп биткойнов у жертвы. Тем не менее, пользователям не нужно беспокоиться, 360 Total Security может перехватить и убить вымогателей и предоставить бесплатные услуги дешифрования в настоящее время.

После того как вымогатель yourFilesEncrypted завершит шифрование файлов с помощью модуля Python, добавит суффикс зашифрованного файла с именем «. FlyBox» и отобразит следующее поле с заголовком «Your Files Encrypted», текст в окне маркера описывает угрозу вымогателей на 72 Remit to the Bitcoin адрес кошелька «1MkdmGEu9vTjqRYrFp4TWbsSK9SjECTbGD» стоимостью 80 долларов США в течение нескольких часов, он отправит сертификат оплаты выкупа на почтовый ящик автора вируса mykeyhelp@protonmail.com и угрожает жертве, чтобы получить ключ дешифрования и выполняет расшифровку файла жертвы. Однако на данный момент кошелек не получил никакой оплаты.

Рисунок 1 Ящик с вирусом YourFilesEnryrypted шантажирует биткойны

Рисунок 2 Зашифрованный файл имеет расширение «.FlyBox»

Сначала вирус распаковывает и запускает основную часть вымогателя Flonwd.exe из раздела ресурсов запутанной программы на C #. Flonwd.exe — это исполняемый файл, упакованный pyinstaller, который создает _MEIxxxxx (_MEI + случайное число) в папке% temp% Folder, распаковывает и выпускает файлы, такие как модуль python, используемый для шифрования вымогателей, а затем использует алгоритмы AES и RSA, чтобы шифровать файлы жертвы через модуль python.

Рисунок 3 Сегмент ресурсов программы C # распаковывает тело вируса Flonwd.exe

Рисунок 4 Файл, выпущенный телом вируса Flonwd.exe в каталог _MEIxxxxx

Рисунок 5 Алгоритм смешанного шифрования AES и RSA в  вымогателе YourFilesEncrypted

В дополнение к шифрованию файлов вирус YourFilesEncrypted также пытается отключить диспетчер задач, добавит элементы автозапуска реестра и удалит теневые копии диска.

Рисунок 6 Другое вредоносное поведение вируса YourFilesEncrypted

Попробовать установить вымогателей как самозапускающуюся программу, добавив раздел реестра:

Удалить копию теневой копии диска, создав текущую запланированную задачу:

Советы по безопасности

1. Перейдите по адресу http://www.360totalsecurity.com/, чтобы загрузить и установить 360 Total Security для эффективной защиты от аналогичных вирусных угроз;
2. Для повышения уровня безопасности личных сетей рекомендуется загружать и устанавливать программное обеспечение с официальных каналов. не добавьте незнакомое программное обеспечение, перехваченного 360 Total Security, в доверие;
3. Если вы случайно заразили трояна, вы можете перейти непосредственно по адресу https://lesuobingdu.360.cn/, чтобы подтвердить тип вируса-вымогателя, через окно «Панель инструментов 360 Total Security» и установить «Расшифровка вымогателей 360 », нажмите» Сканировать сейчас » для восстановления зашифрованных файлов.

Md5:

fd755cae81d2b6d9b60c0eb0e5e42a56

6cda76a4e68d80f64c38c5b4db9a6ed7