Вымогатель пантера снова наносит удар

14 Июл. 2020 г.kate
Подробнее о 360 Total Security

Недавно Центр Безопасности 360  обнаружил, что Вымогатель Пантера был чрезвычайно активен. В анализе выяснились, что это была еще одна вредная операция хакерской группы «Олдпантер».

Мы обнаружили, что организация начала свою деятельность в конце мая в этом году, в результате атак по цепочке поставок был выпущен инфекционный вирус Peviru, скрывающийся в среде компиляции на китайском языке программирования, в результате чего все программы, скомпилированные пользователями, избежали заражения. 360 Total Security завершили перехват и уничтожение вируса сразу после его обнаружения.

В настоящее время обновленная «Oldpanther» выходит снова, используя ранее развернутый вирусный модуль для доставки нового вымогателя Пантера, который снова вызвал волну зла в киберпространстве.

Однако не волнуйтесь,  360 Total Security поддерживает расшифровку для вымогателей Пантера. Зараженные пользователи могут загрузить и установить инструментов дешифрования 360 и защитить личные данные и имущества.

В конце мая Центр безопасности 360 обнаружил, что вирус был направлен на источник скомпилированной программы, проникнув в программу установки на китайском языке программирования и в другие связанные модули, он прошел по всей сети, в результате чего многие китайские рекрутинговые устройства стали «марионеткой», большинство из которых управленны дистанционно трояном.

 

По совпадению, после того, как Центр Безопасности 360 перехватил новую вымогателей Пантера, организация также использовала ранее развернутый вирусный модуль в процессе доставки вируса, и знакомое слово «oldpanther» было похоже на логотип.  Но разница в том, что на этот раз хакерская группа «Лао Леопард» продолжала опустошать Интернет с целью шифрования файлов и вымогательства денег.

Загрузчик вымогателей является fixsys.exe. Автор вируса использует оболочку виртуализации VMProtect для защиты основного кода вымогателей и внедряет вымогателей Пантера в процесс svchost.exe с помощью внедрения Process Hollowing. После выполнения вымогатель будет перебирать раздел диска и шифровать пользовательские файлы.

В процессе шифрования вымогатель использует суффикс файла и механизм белых списков каталогов файлов, и все файлы за пределами следующего белого списка будут зашифрованы.

Кроме того, Вымогатель пантера использует метод шифрования RSA + AES (Rijndael), который реализуется с помощью библиотеки шифрования и дешифрования с открытым исходным кодом CryptoPP:

  1. После шифрования файла останется напоминание о шантаже с именем «LOCKED_README.txt», и будут предоставлены две службы дешифрования, темная и прозрачная;

 

  1. На расшифрованном веб-сайте пользователю предлагается заплатить выкуп Monero (около 400 юаней), но адрес кошелька Monero временно показывает, что выкуп не получен.

Рекомендуется, чтобы зараженные пользователи могли выбрать инструментов дешифрования, чтобы разблокировать зашифрованные файлы одним щелчком мыши. В то же время, чтобы полностью защитить личную конфиденциальность и безопасность имущества, а также очистить сетевую среду, Центр Безопасности 360  специально дает следующие рекомендации по безопасности:

  1. Своевременно зайдите на сайт www.360totalsecurity.com, загрузите и установите 360 Total Security, перехватывайте и уничтожайте все типы популярных вирусов;
  2. Лучще не добавить программы, запрашиваемые защитным программным обеспечением, в доверие или выйти из режима работы антивируса;
  3. В случае заражения пользователи могут сразу перейти на lesuobingdu.360.cn, чтобы подтвердить тип вымогателей, и установить «Инструменты дешифрования 360», нажать «Сканировать сейчас», чтобы восстановить файл шифрования.

 

Адрес кошелка Монеро :

493ZH537LvVhSkJ1TwHC3JGFWvqA98t1ZaEfUt5AKaXdFbQCoqtt5m59Qtbci6B55WEDESt6QaAwaGr1S1iUaidV1aEihnu

Сервис вымогателей Пантера:

http://tjuuhyv2qk6nfvmpq5klgwjw4a54gturwqf2lrmxydioqlxwlaoveaid.onion

http://123.57.50.25:5000/

Подробнее о 360 Total Security