[You must be registered and logged in to see this image.]Рансъмуерът Erebus иска 0,085 биткойна за декриптиращия ключ, с който се възстановяват файловете.
MalwareHunterTeam разкри нова фамилия рансъмуер с име Erebus, характерна с редица твърде интересни функции. Миналата година експертите на TrendMicro съобщиха за появата на изнудвачески компютърен вирус със същото име, но сега това е преработена версия на Erebus или съвсем нов рансъмуер със същото име.
Засега не се знае какъв точно метод използва
Erebus за своето разпространение. Новият рансъмуер може да заобикаля UAC защитата на Windows и да повишава правата си в операционната система. Вирусът е характерен преди всичко с твърде ниската сума на искания откуп в размер на 0,085 биткойна или около $90 за възстановяване на криптираните файлове.
UAC се заобикаля по следния начин: вирусът копира себе си в системната директория като файл със случайно име и разширение .msc, а след това прави промени в системния регистър на Windows, с които сменя асоциирането на .msc файловете със записаното случайно име. След това Erebus стартира файла eventvwr.exe за преглед на събитията. Понеже msc файлът вече не е свързан с mmc.exe, файлът eventvwr.exe стартира рансъмуера. Прегледът на събитията работи с режим с повишени права и изпълнимият файл също ги получава.
Erebus се включва към ipecho.net/plain и ipinfo.io/country за да определи адреса на жертвата, както и нейното местоположение. След това зарежда Tor клиент и го използва завръзка с управляващия сървър. Потребителските файлове се криптират с AES алгоритъма, а на десктопа се появява съобщение с искания оркуп.
/kaldata.com