Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Неизвестный вирус-вымогатель ARCrypter распространяется по всему миру (http://txgate.io:443/showthread.php?t=11131)

Artifact 04-25-2025 11:14 PM

Об операторах ничего не известно, а вектор атаки продолжает быть загадкой.
https://www.securitylab.ru/upload/ib...pmjndt87z.webp
Ранее неизвестная программа-вымогатель ARCrypter, которая скомпрометировала ключевые организации в Латинской Америке, теперь расширяет свои атаки по всему миру.
Исследователи в своем новом отчете связали ARCrypter с атакой на госучреждение Чили в октябре , которая привела к приостановке работы ведомства.
По словам экспертов The BlackBerry Research and Intelligence Team , ARCrypter в настоящее время расширяет свою деятельность за пределами Латинской Америки и нацелен на различные организации по всему миру, в том числе в Китае, Канаде, Германии, США и Франции.
Требования выкупа в каждом случае варьируются и достигают $5000. Эксперты объясняют это тем, ARCrypter является программой-вымогателем среднего уровня.
BlackBerry сообщает, что первые образцы ARCrypter появились в начале августа 2022 года, за несколько недель до атаки в Чили.
Вектор атаки остается неизвестным, но аналитики смогли найти 2 URL-адреса AnonFiles, которые используются в качестве удаленных серверов для получения архива «win.zip», содержащего исполняемый файл «win.exe».
https://www.securitylab.ru/upload/im...t-img(765).png
Страница загрузки исполняемого файла «win.exe»
Исполняемый файл представляет собой файл-дроппер, содержащий ресурсы BIN и HTML. HTML содержит записку о выкупе, а BIN включает в себя зашифрованные данные, для которых требуется пароль.
Если пароль указан, BIN-файл создает на скомпрометированном устройстве случайный каталог для хранения полезной нагрузки второго этапа ARCrypter, которая создает собственный раздел реестра для сохранения постоянства в системе.
https://www.securitylab.ru/upload/im...t-img(766).png
Полезная нагрузка в каталоге на устройстве. Название нагрузки состоит из случайного набора букв и цифр.
Затем ARCrypter удаляет все теневые копии томов, чтобы предотвратить восстановление данных, изменяет сетевые настройки для обеспечения стабильного подключения, а затем шифрует файлы, кроме определенных типов.
https://www.securitylab.ru/upload/im...t-img(767).png
Типы файлов, исключенные из шифрования
Файлы в папках «Загрузки» и «Windows» также пропускаются, чтобы не сделать систему полностью непригодной для использования.
Помимо расширения «.crypt», зашифрованные файлы отображают сообщение «ALL YOUR FILES HAS BEEN ENCRYPTED».
https://www.securitylab.ru/upload/im...t-img(768).png
Зашифрованные файлы
Примечательно, что вымогатели утверждают, что они крадут данные во время своих атак, но у них нет сайта утечки для публикации украденных файлов.
В настоящее время операторах ARCrypter почти ничего не известно – их происхождение, язык и потенциальные связи с другими группировками.

Stairmaster 04-25-2025 11:45 PM

Спасибо за стаью)


All times are GMT. The time now is 08:40 PM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.