После взлома Wildfire хакеры перешли к использованию Hades Locker

После взлома Wildfire хакеры перешли к использованию Hades Locker

После взлома Wildfire хакеры перешли к использованию Hades Locker

Еще в конце августа 2016 года проект No More Ransom, объединивший McAfee и «Лабораторию Касперского», а также представителей Европола и полиции Нидерландов, опубликовал сразу два инструмента для расшифровки данных, которые призваны помочь жертвам вымогателя WildFire восстановить свою информацию.

Шифровальщик WildFire был впервые обнаружен экспертами в середине апреля 2016 года и также известен под названиями GNL и Zyklon. Имя WildFire вымогатель использует начиная с мая 2016 года. В июне и июле текущего года малварь «отличилась» массовыми спам-кампаниями, направленными на пользователей из Голландии и Бельгии, и в августе эти атаки по-прежнему продолжались.

Теперь, когда WildFire был нейтрализован специалистами, хакерская группа, стоявшая за его разработкой, переключилась на другой инструмент. Теперь злоумышленники распространяют шифровальщика Hades Locker, преимущественно через спам-кампании ботнета Kelihos, пишет xakep.ru.

Первым Hades Locker обнаружил Майк Гиллепси (Michael Gillespie), когда 4 октября 2016 года один из пострадавших загрузил сообщение с требованием выкупа в сервис ID Ransomware.

Теперь малварь уже исследовали эксперты Bleeping Computer и Proofpoint, обнаружив, что шифровальщик во многом схож с WildFire. Разнится разве что GUI, который теперь отображает сообщение с требованием выкупа и имитирует ранние версии Locky. Hades Locker шифрует файлы своих жертв с применением алгоритма AES и изменяет расширения файлов на «~HLH6215». За расшифровку данных пострадавшие должны заплатить порядка $600.

Пока неизвестно, атакует ли малварь, сменившая «вывеску», пользователей из Голландии и Бельгии или на этот раз злоумышленники решили расширить зону поражения.

Дуров купил t.you после блокировки t.me из-за санкций США

Павел Дуров решил подстраховаться после недавней блокировки домена t.me и купил для Telegram ещё один короткий адрес — t.you. У регистратора домен уже помечен как занятый, хотя в WHOIS информация о новом владельце пока не появилась.

«Я только что купил t.you в дополнение к t.me, так что теперь это становится общей проблемой», — написал основатель мессенджера 15 июля.

Покупка случилась после довольно абсурдной истории с t.me. 13 июля Минфин США внёс First VPN Service в санкционный список и указал среди связанной инфраструктуры телеграм-канал на домене t.me.

Реестр Domain.ME, управляющий зоной .me, отреагировал широко: вместо блокировки одной ссылки он отправил в serverHold весь домен t.me. В результате короткие ссылки Telegram перестали открываться по всему миру.

В Domain.ME объяснили, что обязаны соблюдать санкционные требования. По версии реестра, Telegram подтвердил удаление ссылок и разрыв связей с 1VPNS, после чего блокировку сняли.

Пока домен лежал, Telegram срочно переключал ссылки на telegram.me и даже telegram.dog. Через несколько часов t.me вернули в DNS, но инцидент показал, насколько один короткий домен зависит от решения внешнего реестра.

Теперь у Telegram появился запасной вариант — t.you. Судя по реакции Дурова, второй раз отдавать всю систему коротких ссылок на волю одного оператора он не собирается.

RSS: Новости на портале Anti-Malware.ru