Шифрувальник Zenis видаляє резервні копії файлів користувача

ІБ-фахівець і засновник сайту Bleeping Computer, Лоренс Абрамс (Lawrence Abrams) повідомив , Що дослідник MalwareHunterTeam виявив вимагача Zenis, який не тільки шифрує файли користувачів, але цілеспрямовано пошкоджує їх резервні копії.

Хоча про вектор поширення нового шифрувальника поки нічого невідомо, експерти відзначають, що постраждалих користувачів вже чимало. За даними MalwareHunterTeam, перші версії шкідливий використовували кастомний метод шифрування файлів, але тепер розробники вимагача перейшли на AES, і відновити дані після атаки Zenis поки не представляється можливим. До роботи над цією проблемою вже підключився відомий ІБ-експерт Майкл Гіллеспі ( Michael Gillespie ), Так що фахівці закликають користувачів не поспішати платити зловмисникам викуп.

Як вже було сказано вище, про вектори поширення малварі поки нічого невідомо, хоча дослідники вважають, що вимагач може поширюватися через зламані сервіси Remote Desktop.

Експерти розповідають, що Zenis володіє декількома відмінними рисами. Так, перед початком роботи шифрувальник проводить в зараженій системі дві перевірки. Спочатку Zenis перевіряє, чи збігається ім'я виконуваного файлу з iis_agent32.exe (реєстр не важливий). Потім шукає в реєстрі HKEY_CURRENT_USER \ SOFTWARE \ ZenisService і перевіряє його активність. Якщо таке значення в реєстрі виявляється, або ім'я файлу не збігається, процес вимагача ліквідується, і шифрування даних не проводиться.

У тому випадку, якщо «все в порядку», і малваре продовжила роботу, Zenis видаляє всі тіньові копії, відключає відновлення системи при запуску і очищає логи. Крім того, після закінчення шифрування файлів, вимагач намагається виявити файли резервних копій, якщо такі є. Такі файли Zenis перезаписує тричі, після чого остаточно їх видаляє. Зокрема шкідливий цікавлять файли .win, .wbb, .w01, .v2i, .trn, .tibkp, .sqb, .rbk, .qic, .old, .obk, .ful, .bup, .bkup, .bkp, .bkf, .bff, .bak, .bak2, .bak3, .edb, .stm. Тим самим малваре не дає потерпілому користувачеві шансу відновити дані з резервних копій.

Тим самим малваре не дає потерпілому користувачеві шансу відновити дані з резервних копій

Уважаемые партнеры, если Вас заинтересовала наша продукция, мы готовы с Вами сотрудничать. Вам необходимо заполнить эту форму и отправить нам. Наши менеджеры в оперативном режиме обработают Вашу заявку, свяжутся с Вами и ответят на все интересующее Вас вопросы.

Или позвоните нам по телефонам: (048) 823-25-64

Организация (обязательно) *

Адрес доставки

Объем

Как с вами связаться:

Имя

Телефон (обязательно) *

Мобильный телефон

Ваш E-Mail

Дополнительная информация: