![Как да инсталирате TeamViewer 13 на RHEL/CentOS/Fedora и Debian/Ubuntu](/f/2dd69cbd65be70c470ed9c0c0fd57ab1.png?width=100&height=100)
Тъй като заплахите и пробивите в сигурността се увеличават от ден на ден, беше намерен нов рансъмуер „Zenis“. Той беше открит от MalwareHunterTeam тази седмица. Разпространението на рансъмуера Zenis все още е неизвестно, но много жертви вече са атакувани.
Zenis не само шифрова вашите файлове, но също така премахва и изтрива архивираните ви файлове.
Когато откривателите откриха първия сюжет на Зенис, актьорите използваха метода на криптиране по поръчка за криптиране на файлове. MalwareHunterTeam все още търси решението за атаката.
Нека да разгледаме как работи този рансъмуер Zenis и се използва за криптиране на файлове и изтриване на архиви.
Прочетете също: 5 най-добри инструменти за защита от рансъмуер за Windows
Както беше казано по-рано, все още се провеждат изследвания за това как се разпространява този рансъмуер. От пробите за атака и от текущия сценарий изглежда, че може да се разпространява чрез услугите за отдалечен работен плот (RDS).
Услугите за отдалечен работен плот са част от Windows Server 2008. Тези услуги позволяват на потребителите достъп до други настолни компютри виртуално. Това означава, че можем да използваме други системи, като използваме основната система чрез RDS.
Zenis използва двуетапна проверка за криптиране. Първата проверка е за изпълнение на файла, а втората - за проверка дали съществува стойността на системния регистър.
И ако регистърът HKEY_CURRENT_USER \ SOFTWARE \ ZenisService “Активен” не съществува или файлът с име iis_agent32.exe също не е налице, тогава процесът ще бъде прекратен и няма да може да криптира система.
Ако Zenis премине проверката в две стъпки, процесът ще започне и системата ще получи бележката за откупа за плащане по имейли или чрез криптирани файлове.
След като изпрати бележка за откуп във вашата система, тя започва да дава команди, дадени по-долу, за да изтрие обемните копия и ще деактивира стартовия ремонт, последван от изчистване на регистрите на събитията.
След като бъдат дадени команди, Zenis ще прекрати няколко процеса във вашата система, които включват:
Веднага след като системата стане съвместима според Zenis, тя започва да шифрова файловете, присъстващи в системата. Той ще сканира системните драйвери и ще търси определени разширения за криптиране. Според изследователите той използва метод на AES криптиране, като използва разширения на файлове. Някои от разширенията на файлове, които Zenis използва за криптиране, са:
.txt, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .jpeg, .png, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .xml, .psd, .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, и т.н.
След криптирането, файловият формат на кодирания файл ще бъде променен на Zenis- [2 произволни символа]. [12 случайни символа]. Този формат ще бъде запазен в края на файла.
Ако архивирането на файловете е свързано с криптираните файлове, Zenis ще презапише файла три пъти и ще го изтрие, което прави невъзможно за потребителя да го възстанови. Има конкретен списък с разширения, които са насочени към изтриване от участници, които включват:
.win, .wbb, .w01, .v2i, .trn, .tibkp, .sqb, .rbk, .qic, .old, .obk, .ful, .bup, .bkup, .kkp, .bkf, .bff, .bak, .bak2, .bak3, .edb, .stm и др.
В процеса на криптиране той също ще генерира файл с бележка за откуп с име „Zenis-Instructions.html“, който иска откуп в замяна на криптираните файлове. Този файл посочва контактите на генератора на рансъмуер, за да ги върне обратно.
Трябва да се прочете: Всичко за Spider Ransomware
Ако намирате това за полезно, моля, уведомете ни. Изпратете ни отзивите си в полето за коментари по-долу.