Europol 4.0 phát hành với mới tính Năng như Tập tin được mã Hóa Tên

 

Europol 4.0 đã được phát hành mà hiển thị được thiết kế lại đòi tiền chuộc, mới tên, và bây giờ mã hóa tên của một tập tin cùng với dữ liệu của nó. Chúng ta đã được cảnh báo này biến thể mới của các thành viên khác nhau, những người đã đăng về bị nhiễm bởi những gì đã được gọi là help_your_files virus. Một khi chúng ta đã có thể phân tích mẫu, mặc dù, nó nhanh chóng được xác định rằng điều này đã được trong thực tế, một phiên bản mới của bạn.. Cho những người có thể đã bị nhiễm bằng phiên bản này, bạn có thể truy cập vào các chuyên Europol 4.0: Help_Your_Files Virus Hỗ trợ chủ Đề để thảo luận về sự nhiễm trùng hoặc nhận được hỗ trợ trên nó.

Những thay đổi quan trọng nhất ở Europol 4.0 là nó bây giờ cũng mã hóa các tên của các tập tin được mã hóa. Mỗi tập tin sẽ có tên của nó bị thay đổi một duy nhất được mã hóa tên như 27p9k967z.x1nep hoặc 9242on6c.6la9. Các tập tin nào có thể được mã hóa để làm cho nó khó khăn hơn nhiều để biết những gì các tập tin cần phải được phục hồi và để làm cho nó thêm khó chịu cho các nạn nhân.
 

Thư mục chứa Tập tin được mã Hóa

Các khác thay đổi lớn ở Europol 4.0 là một thiết kế lại của trang web đòi tiền chuộc cùng với thay đổi tên của nó đến help_your_files.html. Từ ngữ, có một cảm giác chung trong sự kiêu ngạo và từ ngữ đó có nghĩa là đồ chơi với các người bị nhiễm bệnh.

Một số ví dụ trích dẫn từ trên đòi tiền chuộc là:

 

Europol tiếp tục sử dụng cùng một e-mail phân phối phương pháp là bản trước. Các mẫu chúng tôi phân tích đã giả vờ để được một hồ sơ bên trong một nén e-mail. Những hồ sơ, mặc dù đã thực sự JavaScript các tập tin rằng khi thực hiện sẽ tải về một thực thi, cứu nó vào cửa Sổ %Tạm% thư mục, và thực hiện nó. Một ví dụ về một trong các loại của bài tập tin có thể được nhìn thấy sau.
 

JavaScript Trojan/Drop

Từ phân tích thực hiện bởi Nathan Scott, Europol 4.0 có cùng cài đặt, đặc tính và thông tin liên lạc phương pháp như là phiên bản trước. Khi giao tiếp với các Lệnh và kiểm Soát máy Chủ, Europol 4.0 tiếp tục sử dụng RC4 mã hóa Nó cũng vẫn tiếp tục để tạo ra một nạn nhân của danh duy nhất từ những MD5 của máy tính, máy tính của tên, khối số, xử lý thông tin, và HỆ điều hành phiên bản. Giống như những người tiền nhiệm của khi cài đặt Europol 4.0 sẽ tiêm nó vào Explorer.exe và vô hiệu hóa Hệ thống Phục hồi, xóa tất cả Bóng tối khối Lượng Bản sao, và sử dụng bcdedit để tắt Windows Khởi động sửa Chữa. Sau đó nó sẽ tiêm nó vào svchost.exe và mã hóa các dữ liệu trên tất cả các phương ổ đĩa, ổ cứng di động, và ổ đĩa mạng ánh xạ. Một khi nó đã hoàn thành mã hóa các tập tin của bạn, nó sẽ khởi động các ghi chú tiền chuộc đó giải thích những gì đã xảy ra và làm thế nào để mua đôi.

Europol 4.0 tiếp tục sử dụng cùng một Mã hóa trang dịch Vụ như lần trước. Từ trang này một nạn nhân có thể làm cho thanh toán, tìm hiểu tình trạng của một thanh toán có được một miễn phí giải mã, và tạo ra các yêu cầu hỗ trợ. Hiện tại Url được sử dụng bởi những Vụ Giải mã được trang web 3wzn5p2yiumh7akj.partnersinvestpayto.com, 3wzn5p2yiumh7akj.marketcryptopartners.com, 3wzn5p2yiumh7akj.forkinvestpay.com, 3wzn5p2yiumh7akj.effectwaytopay.com và 3wzn5p2yiumh7akj.hành (TOR Chỉ).

 

Giải Mã Vụ Thanh Toán Trang Web

 

Rất tiếc, lúc này không có cách nào để khôi phục lại các tập tin của bạn, không khôi phục lại từ một bản sao lưu hoặc trả tiền chuộc. Nếu anh cần bất kỳ sự giúp đỡ hoặc muốn thảo luận về điều này phiên bản mới của bạn. bạn có thể làm như vậy trong chúng tôi Europol 4.0: Help_Your_Files Virus Hỗ trợ chủ Đề.

Tôi muốn cho một lớn nhờ Nathan Scott và Trắng Mũ Mike cho góp của họ vào phân tích này.

Ý kiến của bạn