Среда, 8 июля, 01:03
дома безопасность Yatron Ransomware пытается распространиться через уязвимости EternalBlue NSA

Yatron Ransomware пытается распространиться через уязвимости EternalBlue NSA

Yatron

Новая программа Ransomware-as-a-Service под названием Yatron продвигается в Twitter и планирует использовать EternalBlue и DoublePulsar для распространения на другие компьютеры в сети. это вымогателей он также попытается удалить зашифрованные файлы, если оплата не была произведена в часы 72.

BleepingComputer был впервые проинформирован о Yatron RaaS исследователем безопасности по имени Тень, С тех пор хакер за этим вымогателем странным образом запустил сервис, отправив сообщение в Twitter различным исследователям безопасности, как показано ниже.

После просмотра одного из этих твитов BleepingComputer смог найти образец на VirusTotal и с помощью Майкла Гиллеспи он начал изучать исходный код вымогателей.

Как и любая другая программа-вымогатель, при запуске она сканирует компьютер на наличие целевых файлов и шифрует их. При шифровании файла он добавляет расширение .Yatron к зашифрованному имени файла, как показано ниже.

Как только шифрование файлов будет завершено, он отправит код шифрования и уникальный идентификатор обратно на сервер управления и вымогателей. Согласно Gillespie, этот вымогатель основан на HiddenTear, но его алгоритм шифрования был изменен, поэтому он не может быть расшифрован текущими методами.

Как только шифрование выполнено, все становится интереснее.

Yatron содержит код для использования EternalBlue и DoublePulsar для распространения на машины Windows в одной сети с использованием уязвимого SMBv1, который должен был быть исправлен давно. К счастью, код для использования этих ферм является неполным, и вымогатель в настоящее время не включает исполняемые файлы Eternalblue-2.2.0.exe и Doublepulsar-1.3.1.exe, на которых он основан.

В дополнение к использованию уязвимостей Yatron будет пытаться распространяться через программы P2P, копируя исполняемые вымогатели в предустановленные папки, используемые такими программами, как Kazaa, Ares, eMule и другими. Цель состоит в том, чтобы при запуске этих программ вымогатель автоматически разделялся клиентом P2P.

По завершении вымогатель отобразит интерфейс, который содержит отсчеты отсчета 72, пока зашифрованные файлы не будут удалены. Чтобы защитить файлы от их удаления, пользователь может просто завершить процесс с помощью такого инструмента, как Process Explorer в качестве администратора.

Повышен как RaaS

Yatron рекламируется как сервис Ransomware-as-a-Service, но он работает несколько иначе, чем большинство сервисов RaaS.

Обычно, когда преступники-подражатели присоединяются к RaaS, его создатель получает долю дохода от всего выплаченного выкупа. Например, некоторые службы RaaS будут получать 20% от всех выкупов, в то время как партнер / дистрибьютор зарабатывает оставшиеся 80%.

Как и другой недавний RaaS под названием Jokeroo, разработчик Yatron продает доступ к RaaS за $ 100 в биткойнах, и тогда это бесплатно.

Как и все предложения RaaS, Yatron обещает исполняемый файл FUD, возможность зашифровать компьютер и удалить резервные копии. Как было описано ранее, этот вымогатель также нацелен на распространение P2P, USB и LAN.

В настоящее время, однако, никто не заплатил, чтобы получить доступ к этому вымогателю.

ОСТАВИТЬ ОТВЕТ

Пожалуйста, введите ваш комментарий!
Пожалуйста, введите ваше имя здесь

Отсутствующая Миа
Отсутствующая Миаhttps://www.secnews.gr
Быть самим собой в мире, который постоянно пытается изменить вас, является вашим величайшим достижением

LIVE NEWS

Project Freta от Microsoft обнаруживает вредоносные программы по снимкам

Project Freta, представленный Microsoft в понедельник, представляет собой новый бесплатный сервис, который позволяет пользователям ...

Технология Тесла помогает выявлять преступления!

Норвежское полицейское управление ищет владельцев автомобилей Tesla с Sentry Mode, чтобы помочь расследовать покушение на убийство.
00: 01: 56

Гонконг: технологические гиганты заморозили требования к данным

Google, Facebook и Twitter прекращают обработку запросов данных от правительства Гонконга, поскольку они пересматривают новый ...

Эксперт предупреждает COVID-19: «Мы будем носить маски годами»!

Эрик Тонер, старший научный сотрудник в Центре здоровья Джонса Хопкинса и мировой лидер в области готовности к пандемии, сообщил ...

Microsoft: борьба за Warner Bros. IE

Microsoft: борьба за Warner Bros. Интерактивные развлечения: Microsoft хочет быть заинтересованным в создании ...

Proton: теперь он будет поддерживать эксклюзивные игры для Windows

Хотя в последнее время Linux значительно улучшился, окна продолжают работать ...

Фишинговые атаки BEC: новая хакерская команда нацелена на крупные компании

Недавно была обнаружена новая хакерско-фишинговая команда, нацеленная на крупные компании по всему миру. BEC (Бизнес ...

Компания Anker выпустила док-станцию ​​PowerExpand Elite 13 в 1!

Док-станция PowerExpand Elite 13 от 1 от Anker превращает простой порт Thunderbolt 3 в любой порт, который вам нужен, и идеально подходит для Mac ...

Сеть Virgin Media снова перестала работать

Сеть Virgin Media столкнулась с очередным простоем, который затронул нескольких пользователей.

Банковский троян Цербера проникает в Google Play

Исследователи безопасности обнаружили, что банковский троян Cerberus замаскировался в Google Play как легальное валютное приложение. Во вторник,...