Nemty рднрдирд┐рдиреЗ рдирдпрд╛рдБ ransomware рдиреЗрдЯрд╡рд░реНрдХрдорд╛ рджреЗрдЦрд╛ рдкрд░реЗрдХреЛ рдЫ, рдЬреБрди рдорд╛рдирд┐рдиреНрдЫ рдХрд┐ GrandCrab рд╡рд╛ Buran рдХреЛ рдЙрддреНрддрд░рд╛рдзрд┐рдХрд╛рд░реА рд╣реЛред рдорд╛рд▓рд╡реЗрдпрд░ рдореБрдЦреНрдпрддрдпрд╛ рдирдХреНрдХрд▓реА PayPal рд╡реЗрдмрд╕рд╛рдЗрдЯрдмрд╛рдЯ рд╡рд┐рддрд░рд┐рдд рдЧрд░рд┐рдиреНрдЫ рд░ рдпрд╕рдорд╛ рдзреЗрд░реИ рд░реЛрдЪрдХ рд╕реБрд╡рд┐рдзрд╛рд╣рд░реВ рдЫрдиреНред рдпрд╕ ransomware рд▓реЗ рдХрд╕рд░реА рдХрд╛рдо рдЧрд░реНрджрдЫ рднрдиреНрдиреЗ рдмрд╛рд░реЗ рд╡рд┐рд╡рд░рдгрд╣рд░реВ рдХрдЯ рдЕрдиреНрддрд░реНрдЧрдд рдЫрдиреНред
рдирдпрд╛рдБ Nemty ransomware рдкреНрд░рдпреЛрдЧрдХрд░реНрддрд╛ рджреНрд╡рд╛рд░рд╛ рдкрддреНрддрд╛ рд▓рдЧрд╛рдЗрдпреЛ
рдиреЗрдореНрдЯреАрдХреЛ рдмрд╛рд░реЗрдорд╛ рдзреЗрд░реИ рд░реЛрдЪрдХ рддрдереНрдпрд╣рд░реВрд▓реЗ рд╕реБрдЭрд╛рд╡ рджрд┐рдиреНрдЫ рдХрд┐ рдпреЛ рдЙрд╣реА рд╡реНрдпрдХреНрддрд┐рд╣рд░реВ рд╡рд╛ Buran рд░ GrandCrab рд╕рдБрдЧ рд╕рдореНрдмрдиреНрдзрд┐рдд рд╕рд╛рдЗрдмрд░ рдЕрдкрд░рд╛рдзреАрд╣рд░реВрджреНрд╡рд╛рд░рд╛ рд╡рд┐рдХрд╕рд┐рдд рдЧрд░рд┐рдПрдХреЛ рдерд┐рдпреЛред
- GandCrab рдЬрд╕реНрддреИ, Nemty рд╕рдБрдЧ рдЗрд╕реНрдЯрд░ рдЕрдгреНрдбрд╛ рдЫ - рд░реВрд╕реА рд░рд╛рд╖реНрдЯреНрд░рдкрддрд┐ рднреНрд▓рд╛рджрд┐рдорд┐рд░ рдкреБрдЯрд┐рдирдХреЛ рдЕрд╢реНрд▓реАрд▓ рдордЬрд╛рдХрдХреЛ рд╕рд╛рде рдлреЛрдЯреЛрдХреЛ рд▓рд┐рдЩреНрдХред рд╡рд┐рд░рд╛рд╕рдд GandCrab ransomware рд╕рдБрдЧ рд╕рдорд╛рди рдкрд╛рдардХреЛ рдЫрд╡рд┐ рдерд┐рдпреЛред
- рджреБрдмреИ рдХрд╛рд░реНрдпрдХреНрд░рдорд╣рд░реВрдХреЛ рднрд╛рд╖рд╛ рдХрд▓рд╛рдХреГрддрд┐рд╣рд░реВрд▓реЗ рдПрдЙрдЯреИ рд░реВрд╕реА-рднрд╛рд╖реА рд▓реЗрдЦрдХрд╣рд░реВрд▓рд╛рдИ рд╕рдВрдХреЗрдд рдЧрд░реНрджрдЫред
- рдпреЛ 8092-bit RSA рдХреБрдЮреНрдЬреА рдкреНрд░рдпреЛрдЧ рдЧрд░реНрдиреЗ рдкрд╣рд┐рд▓реЛ ransomware рд╣реЛред рдпрджреНрдпрдкрд┐ рдпрд╕рдорд╛ рдХреБрдиреИ рдмрд┐рдиреНрджреБ рдЫреИрди: 1024-рдмрд┐рдЯ рдХреБрдЮреНрдЬреА рд╣реНрдпрд╛рдХрд┐рдЩ рд╡рд┐рд░реБрджреНрдз рд╕реБрд░рдХреНрд╖рд╛ рдЧрд░реНрди рдкрд░реНрдпрд╛рдкреНрдд рдЫред
- Buran рдЬрд╕реНрддреИ, ransomware рд╡рд╕реНрддреБ рдкрд╛рд╕реНрдХрд▓ рдорд╛ рд▓реЗрдЦрд┐рдПрдХреЛ рдЫ рд░ Borland рдбреЗрд▓реНрдлреА рдорд╛ рдХрдореНрдкрд╛рдЗрд▓ рдЧрд░рд┐рдПрдХреЛ рдЫред
рд╕реНрдерд┐рд░ рд╡рд┐рд╢реНрд▓реЗрд╖рдг
рджреБрд░реНрднрд╛рд╡рдирд╛рдкреВрд░реНрдг рдХреЛрдбрдХреЛ рдХрд╛рд░реНрдпрд╛рдиреНрд╡рдпрди рдЪрд╛рд░ рдЪрд░рдгрд╣рд░реВрдорд╛ рд╣реБрдиреНрдЫред рдкрд╣рд┐рд▓реЛ рдЪрд░рдг рднрдиреЗрдХреЛ 32 рдмрд╛рдЗрдЯрдХреЛ рд╕рд╛рдЗрдЬ рднрдПрдХреЛ MS Windows рдЕрдиреНрддрд░реНрдЧрдд PE1198936 рдХрд╛рд░реНрдпрд╛рдиреНрд╡рдпрдирдпреЛрдЧреНрдп рдлрд╛рдЗрд▓ cashback.exe рдЪрд▓рд╛рдЙрдиреБ рд╣реЛред рдпрд╕рдХреЛ рдХреЛрдб рднрд┐рдЬреБрдЕрд▓ C++ рдорд╛ рд▓реЗрдЦрд┐рдПрдХреЛ рдерд┐рдпреЛ рд░ рдЕрдХреНрдЯреЛрдмрд░ 14, 2013 рдорд╛ рдХрдореНрдкрд╛рдЗрд▓ рдЧрд░рд┐рдПрдХреЛ рдерд┐рдпреЛред рдпрд╕рд▓реЗ рдПрдЙрдЯрд╛ рдЕрднрд┐рд▓реЗрдЦ рд╕рдорд╛рд╡реЗрд╢ рдЧрд░реНрджрдЫ рдЬреБрди рд╕реНрд╡рдЪрд╛рд▓рд┐рдд рд░реВрдкрдорд╛ рдЕрдирдкреНрдпрд╛рдХ рд╣реБрдиреНрдЫ рдЬрдм рддрдкрд╛рдЗрдБ cashback.exe рдЪрд▓рд╛рдЙрдиреБрд╣реБрдиреНрдЫред рд╕рдлреНрдЯрд╡реЗрдпрд░рд▓реЗ .cab рдЕрднрд┐рд▓реЗрдЦрдмрд╛рдЯ рдлрд╛рдЗрд▓рд╣рд░реВ рдкреНрд░рд╛рдкреНрдд рдЧрд░реНрди Cabinet.dll рдкреБрд╕реНрддрдХрд╛рд▓рдп рд░ рдпрд╕рдХреЛ рдХрд╛рд░реНрдпрд╣рд░реВ FDICreate(), FDIDestroy() рд░ рдЕрдиреНрдп рдкреНрд░рдпреЛрдЧ рдЧрд░реНрджрдЫред
SHA-256: A127323192ABED93AED53648D03CA84DE3B5B006B641033EB46A520B7A3C16FC
рд╕рдВрдЧреНрд░рд╣ рдЕрдирдкреНрдпрд╛рдХ рдЧрд░реЗрдкрдЫрд┐, рддреАрди рдлрд╛рдЗрд▓рд╣рд░реВ рджреЗрдЦрд╛ рдкрд░реНрдиреЗрдЫред
рдЕрд░реНрдХреЛ, temp.exe рд▓рдиреНрдЪ рдЧрд░рд┐рдПрдХреЛ рдЫ, 32 рдмрд╛рдЗрдЯрдХреЛ рд╕рд╛рдЗрдЬрдХреЛ рдПрдордПрд╕ рд╡рд┐рдиреНрдбреЛрдЬ рдЕрдиреНрддрд░реНрдЧрдд PE307200 рдХрд╛рд░реНрдпрд╛рдиреНрд╡рдпрдирдпреЛрдЧреНрдп рдлрд╛рдЗрд▓ред рдХреЛрдб рднрд┐рдЬреБрдЕрд▓ C++ рдорд╛ рд▓реЗрдЦрд┐рдПрдХреЛ рдЫ рд░ MPRESS рдкреНрдпрд╛рдХрд░, UPX рдЬрд╕реНрддреИ рдкреНрдпрд╛рдХрд░рд╕рдБрдЧ рдкреНрдпрд╛рдХреЗрдЬ рдЧрд░рд┐рдПрдХреЛ рдЫред
SHA-256: EBDBA4B1D1DE65A1C6B14012B674E7FA7F8C5F5A8A5A2A9C3C338F02DD726AAD
рдЕрд░реНрдХреЛ рдЪрд░рдг ironman.exe рд╣реЛред рдПрдХ рдкрдЯрдХ рд╕реБрд░реБ рднрдПрдкрдЫрд┐, temp.exe рд▓реЗ рдЗрдореНрдмреЗрдбреЗрдб рдбрд╛рдЯрд╛рд▓рд╛рдИ temp рдорд╛ рдбрд┐рдХреНрд░рд┐рдкреНрдЯ рдЧрд░реНрдЫ рд░ ironman.exe, 32 рдмрд╛рдЗрдЯ PE544768 рдХрд╛рд░реНрдпрд╛рдиреНрд╡рдпрдирдпреЛрдЧреНрдп рдлрд╛рдЗрд▓рдорд╛ рдкреБрди: рдирд╛рдорд╛рдХрд░рдг рдЧрд░реНрджрдЫред рдХреЛрдб рдмреЛрд░рд▓реНрдпрд╛рдгреНрдб рдбреЗрд▓реНрдлреА рдорд╛ рдХрдореНрдкрд╛рдЗрд▓ рдЧрд░рд┐рдПрдХреЛ рдЫред
SHA-256: 2C41B93ADD9AC5080A12BF93966470F8AB3BDE003001492A10F63758867F2A88
рдЕрдиреНрддрд┐рдо рдЪрд░рдг ironman.exe рдлрд╛рдЗрд▓ рдкреБрди: рд╕реБрд░реБ рдЧрд░реНрди рд╣реЛред рд░рдирдЯрд╛рдЗрдордорд╛, рдпрд╕рд▓реЗ рдпрд╕рдХреЛ рдХреЛрдб рдкрд░рд┐рд╡рд░реНрддрди рдЧрд░реНрдЫ рд░ рдореЗрдореЛрд░реАрдмрд╛рдЯ рдЖрдлреИ рдЪрд▓реНрдЫред ironman.exe рдХреЛ рдпреЛ рд╕рдВрд╕реНрдХрд░рдг рдЦрд░рд╛рдм рдЫ рд░ рдЧреБрдкреНрддрд┐рдХрд░рдгрдХреЛ рд▓рд╛рдЧрд┐ рдЬрд┐рдореНрдореЗрд╡рд╛рд░ рдЫред
рдЖрдХреНрд░рдордг рд╡реЗрдХреНрдЯрд░
рд╣рд╛рд▓, Nemty ransomware рд╡реЗрдмрд╕рд╛рдЗрдЯ pp-back.info рдорд╛рд░реНрдлрдд рд╡рд┐рддрд░рдг рдЧрд░рд┐рдиреНрдЫред
рд╕рдВрдХреНрд░рдордг рдХреЛ рдкреВрд░реНрдг рд╢реНрд░реГрдВрдЦрд▓рд╛ рдорд╛ рд╣реЗрд░реНрди рд╕рдХрд┐рдиреНрдЫ
рд╕реЗрдЯрд┐рдЩ
Cashback.exe - рдЖрдХреНрд░рдордгрдХреЛ рд╕реБрд░реБрд╡рд╛рддред рдкрд╣рд┐рд▓реЗ рдиреИ рдЙрд▓реНрд▓реЗрдЦ рдЧрд░рд┐рдПрдЭреИрдВ, cashback.exe рд▓реЗ рдпрд╕рдорд╛ рд░рд╣реЗрдХреЛ cab рдлрд╛рдЗрд▓ рдЦреЛрд▓реНрдЫред рддреНрдпрд╕рдкрдЫрд┐ рдпрд╕рд▓реЗ %TEMP%IXxxx.TMP рдлрд╛рд░рдордХреЛ TMP4351$.TMP рдлреЛрд▓реНрдбрд░ рд╕рд┐рд░реНрдЬрдирд╛ рдЧрд░реНрдЫ, рдЬрд╣рд╛рдБ xxx 001 рджреЗрдЦрд┐ 999 рд╕рдореНрдордХреЛ рд╕рдВрдЦреНрдпрд╛ рд╣реЛред
рдЕрд░реНрдХреЛ, рдПрдХ рд░рдЬрд┐рд╕реНрдЯреНрд░реА рдХреБрдЮреНрдЬреА рд╕реНрдерд╛рдкрдирд╛ рдЧрд░рд┐рдПрдХреЛ рдЫ, рдЬреБрди рдпреЛ рдЬрд╕реНрддреЛ рджреЗрдЦрд┐рдиреНрдЫ:
"rundll32.exe" "C:Windowssystem32advpack.dll,DelNodeRunDLL32"C:UsersMALWAR~1AppDataLocalTempIXPxxx.TMP""
рдпреЛ рдЕрдирдкреНрдпрд╛рдХ рдлрд╛рдЗрд▓рд╣рд░реВ рдореЗрдЯрд╛рдЙрди рдкреНрд░рдпреЛрдЧ рдЧрд░рд┐рдиреНрдЫред рдЕрдиреНрддрдорд╛, cashback.exe рд▓реЗ temp.exe рдкреНрд░рдХреНрд░рд┐рдпрд╛ рд╕реБрд░реБ рдЧрд░реНрдЫред
Temp.exe рд╕рдВрдХреНрд░рдордг рд╢реНрд░реГрдВрдЦрд▓рд╛рдХреЛ рджреЛрд╕реНрд░реЛ рдЪрд░рдг рд╣реЛ
рдпреЛ cashback.exe рдлрд╛рдЗрд▓рджреНрд╡рд╛рд░рд╛ рд╕реБрд░реБ рдЧрд░рд┐рдПрдХреЛ рдкреНрд░рдХреНрд░рд┐рдпрд╛ рд╣реЛ, рднрд╛рдЗрд░рд╕ рдХрд╛рд░реНрдпрд╛рдиреНрд╡рдпрдирдХреЛ рджреЛрд╕реНрд░реЛ рдЪрд░рдгред рдпрд╕рд▓реЗ AutoHotKey рдбрд╛рдЙрдирд▓реЛрдб рдЧрд░реНрдиреЗ рдкреНрд░рдпрд╛рд╕ рдЧрд░реНрдЫ, Windows рдорд╛ рд╕реНрдХреНрд░рд┐рдкреНрдЯрд╣рд░реВ рдЪрд▓рд╛рдЙрдирдХреЛ рд▓рд╛рдЧрд┐ рдПрдЙрдЯрд╛ рдЙрдкрдХрд░рдг, рд░ PE рдлрд╛рдЗрд▓рдХреЛ рд╕реНрд░реЛрдд рдЦрдгреНрдбрдорд╛ рдЕрд╡рд╕реНрдерд┐рдд WindowSpy.ahk рд╕реНрдХреНрд░рд┐рдкреНрдЯ рдЪрд▓рд╛рдЙрдиреБрд╣реЛрд╕реНред
WindowSpy.ahk рд╕реНрдХреНрд░рд┐рдкреНрдЯрд▓реЗ RC4 рдПрд▓реНрдЧреЛрд░рд┐рджрдо рд░ рдкрд╛рд╕рд╡рд░реНрдб IwantAcake рдкреНрд░рдпреЛрдЧ рдЧрд░реЗрд░ ironman.exe рдорд╛ temp рдлрд╛рдЗрд▓ рдбрд┐рдХреНрд░рд┐рдкреНрдЯ рдЧрд░реНрджрдЫред рдкрд╛рд╕рд╡рд░реНрдбрдмрд╛рдЯ рдХреБрдЮреНрдЬреА MD5 рд╣реНрдпрд╛рд╕рд┐рдЩ рдПрд▓реНрдЧреЛрд░рд┐рдереНрдо рдкреНрд░рдпреЛрдЧ рдЧрд░реЗрд░ рдкреНрд░рд╛рдкреНрдд рдЧрд░рд┐рдиреНрдЫред
temp.exe рддреНрдпрд╕рдкрдЫрд┐ ironman.exe рдкреНрд░рдХреНрд░рд┐рдпрд╛рд▓рд╛рдИ рдХрд▓ рдЧрд░реНрджрдЫред
Ironman.exe - рддреЗрд╕реНрд░реЛ рдЪрд░рдг
Ironman.exe рд▓реЗ iron.bmp рдлрд╛рдЗрд▓рдХреЛ рд╕рд╛рдордЧреНрд░реАрд╣рд░реВ рдкрдвреНрдЫ рд░ рдХреНрд░рд┐рдкреНрдЯреЛрд▓рдХрд░рдХреЛ рд╕рд╛рде iron.txt рдлрд╛рдЗрд▓ рд╕рд┐рд░реНрдЬрдирд╛ рдЧрд░реНрджрдЫ рдЬреБрди рдЕрд░реНрдХреЛ рд╕реБрд░реБ рд╣реБрдиреЗрдЫред
рдпрд╕рдкрдЫрд┐, рднрд╛рдЗрд░рд╕рд▓реЗ iron.txt рд▓рд╛рдИ рдореЗрдореЛрд░реАрдорд╛ рд▓реЛрдб рдЧрд░реНрдЫ рд░ ironman.exe рдХреЛ рд░реВрдкрдорд╛ рдкреБрдирдГ рд╕реБрд░реБ рдЧрд░реНрдЫред рдпрд╕ рдкрдЫрд┐, iron.txt рдореЗрдЯрд╛рдЗрдиреНрдЫред
ironman.exe NEMTY ransomware рдХреЛ рдореБрдЦреНрдп рднрд╛рдЧ рд╣реЛ, рдЬрд╕рд▓реЗ рдкреНрд░рднрд╛рд╡рд┐рдд рдХрдореНрдкреНрдпреБрдЯрд░рдорд╛ рдлрд╛рдЗрд▓рд╣рд░реВ рдЗрдиреНрдХреНрд░рд┐рдкреНрдЯ рдЧрд░реНрджрдЫред рдорд╛рд▓рд╡реЗрдпрд░рд▓реЗ рдШреГрдгрд╛ рднрдирд┐рдиреЗ рдореНрдпреБрдЯреЗрдХреНрд╕ рд╕рд┐рд░реНрдЬрдирд╛ рдЧрд░реНрджрдЫред
рдкрд╣рд┐рд▓реЛ рдХреБрд░рд╛ рдпрд╕рд▓реЗ рдХрдореНрдкреНрдпреБрдЯрд░рдХреЛ рднреМрдЧреЛрд▓рд┐рдХ рд╕реНрдерд╛рди рдирд┐рд░реНрдзрд╛рд░рдг рдЧрд░реНрдЫред Nemty рд▓реЗ рдмреНрд░рд╛рдЙрдЬрд░ рдЦреЛрд▓реНрдЫ рд░ IP рдкрддреНрддрд╛ рд▓рдЧрд╛рдЙрдБрдЫ
- рд░реВрд╕
- рдмреЗрд▓рд╛рд░реВрд╕
- рдпреБрдХреНрд░реЗрди
- рдХрд╛рдЬрд╛рдХрд┐рд╕реНрддрд╛рди
- рддрд╛рдЬрд┐рдХрд┐рд╕реНрддрд╛рди
рд╕рдореНрднрд╡рддрдГ, рд╡рд┐рдХрд╛рд╕рдХрд░реНрддрд╛рд╣рд░реВрд▓реЗ рдЖрдлреНрдиреЛ рдирд┐рд╡рд╛рд╕рдХреЛ рджреЗрд╢рд╣рд░реВрдорд╛ рдХрд╛рдиреВрди рдкреНрд░рд╡рд░реНрддрди рдПрдЬреЗрдиреНрд╕реАрд╣рд░реВрдХреЛ рдзреНрдпрд╛рди рдЖрдХрд░реНрд╖рд┐рдд рдЧрд░реНрди рдЪрд╛рд╣рдБрджреИрдирдиреН, рд░ рддреНрдпрд╕реИрд▓реЗ рддрд┐рдиреАрд╣рд░реВрдХреЛ "рдШрд░" рдХреНрд╖реЗрддреНрд░рд╛рдзрд┐рдХрд╛рд░рдорд╛ рдлрд╛рдЗрд▓рд╣рд░реВ рдЗрдиреНрдХреНрд░рд┐рдкреНрдЯ рдЧрд░реНрджреИрдирдиреНред
рдпрджрд┐ рдкреАрдбрд┐рддрдХреЛ рдЖрдИрдкреА рдареЗрдЧрд╛рдирд╛ рдорд╛рдерд┐рдХреЛ рд╕реВрдЪреАрд╕рдБрдЧ рд╕рдореНрдмрдиреНрдзрд┐рдд рдЫреИрди рднрдиреЗ, рднрд╛рдЗрд░рд╕рд▓реЗ рдкреНрд░рдпреЛрдЧрдХрд░реНрддрд╛рдХреЛ рдЬрд╛рдирдХрд╛рд░реА рдЗрдиреНрдХреНрд░рд┐рдкреНрдЯ рдЧрд░реНрджрдЫред
рдлрд╛рдЗрд▓ рд░рд┐рдХрднрд░реА рд░реЛрдХреНрдирдХреЛ рд▓рд╛рдЧрд┐, рддрд┐рдиреАрд╣рд░реВрдХреЛ рдЫрд╛рдпрд╛ рдкреНрд░рддрд┐рд▓рд┐рдкрд┐рд╣рд░реВ рдореЗрдЯрд╛рдЗрдПрдХрд╛ рдЫрдиреН:
рдпрд╕рд▓реЗ рддреНрдпрд╕рдкрдЫрд┐ рдлрд╛рдЗрд▓рд╣рд░реВ рд░ рдлреЛрд▓реНрдбрд░рд╣рд░реВрдХреЛ рд╕реВрдЪреА рд╕рд┐рд░реНрдЬрдирд╛ рдЧрд░реНрджрдЫ рдЬреБрди рдИрдиреНрдХреНрд░рд┐рдкреНрдЯреЗрдб рд╣реБрдиреЗрдЫреИрди, рд╕рд╛рдереИ рдлрд╛рдЗрд▓ рд╡рд┐рд╕реНрддрд╛рд░рд╣рд░реВрдХреЛ рд╕реВрдЪреАред
- Windows
- $RECYCLE.BIN
- рдЖрд░рдПрд╕рдП
- NTDETECT.COM
- рдЖрджрд┐
- MSDOS.SYS
- IO.SYS
- boot.ini AUTOEXEC.BAT ntuser.dat
- рдбреЗрд╕реНрдХрдЯрдк.рдЗрди
- SYS рдХрдиреНрдлрд┐рдЧред
- BOOTSECT.BAK
- bootmgr
- рдХрд╛рд░реНрдпрдХреНрд░рдо рдбрд╛рдЯрд╛
- рдПрдк рдбрд╛рдЯрд╛
- osoft
- рд╕рд╛рдорд╛рдиреНрдп рдлрд╛рдЗрд▓рд╣рд░реВ
log LOG CAB cab CMD cmd COM com cpl
CPL exe EXE ini INI dll DDL lnk LNK url
URL ttf TTF DECRYPT.txt NEMTY
рдЕрд╕реНрдкрд╖реНрдЯрддрд╛
URL рд╣рд░реВ рд░ рдЗрдореНрдмреЗрдбреЗрдб рдХрдиреНрдлрд┐рдЧрд░реЗрд╕рди рдбрд╛рдЯрд╛ рд▓реБрдХрд╛рдЙрди, Nemty рд▓реЗ fuckav рдХрд┐рд╡рд░реНрдбрдХреЛ рд╕рд╛рде base64 рд░ RC4 рдПрдиреНрдХреЛрдбрд┐рдЩ рдПрд▓реНрдЧреЛрд░рд┐рджрдо рдкреНрд░рдпреЛрдЧ рдЧрд░реНрджрдЫред
CryptStringToBinary рдкреНрд░рдпреЛрдЧ рдЧрд░реА рдбрд┐рдХреНрд░рд┐рдкреНрд╢рди рдкреНрд░рдХреНрд░рд┐рдпрд╛ рдирд┐рдореНрдирд╛рдиреБрд╕рд╛рд░ рдЫ
рдИрдиреНрдХреНрд░рд┐рдкреНрд╢рди
Nemty рддреАрди-рддрд╣ рдИрдиреНрдХреНрд░рд┐рдкреНрд╢рди рдкреНрд░рдпреЛрдЧ рдЧрд░реНрджрдЫ:
- рдлрд╛рдЗрд▓рд╣рд░реВрдХреЛ рд▓рд╛рдЧрд┐ AES-128-CBCред 128-рдмрд┐рдЯ AES рдХреБрдЮреНрдЬреА рдЕрдирд┐рдпрдорд┐рдд рд░реВрдкрдорд╛ рдЙрддреНрдкрдиреНрди рд╣реБрдиреНрдЫ рд░ рд╕рдмреИ рдлрд╛рдЗрд▓рд╣рд░реВрдХреЛ рд▓рд╛рдЧрд┐ рд╕рдорд╛рди рдкреНрд░рдпреЛрдЧ рдЧрд░рд┐рдиреНрдЫред рдпреЛ рдкреНрд░рдпреЛрдЧрдХрд░реНрддрд╛рдХреЛ рдХрдореНрдкреНрдпреБрдЯрд░рдорд╛ рдХрдиреНрдлрд┐рдЧрд░реЗрд╕рди рдлрд╛рдЗрд▓рдорд╛ рднрдгреНрдбрд╛рд░рдг рдЧрд░рд┐рдПрдХреЛ рдЫред IV рдЕрдирд┐рдпрдорд┐рдд рд░реВрдкрдорд╛ рдкреНрд░рддреНрдпреЗрдХ рдлрд╛рдЗрд▓рдХреЛ рд▓рд╛рдЧрд┐ рдЙрддреНрдкрдиреНрди рд╣реБрдиреНрдЫ рд░ рдПрдиреНрдХреНрд░рд┐рдкреНрдЯреЗрдб рдлрд╛рдЗрд▓рдорд╛ рднрдгреНрдбрд╛рд░рдг рдЧрд░рд┐рдиреНрдЫред
- RSA-2048 рдлрд╛рдЗрд▓ рдЗрдиреНрдХреНрд░рд┐рдкреНрд╕рди IV рдХреЛ рд▓рд╛рдЧрд┐ред рд╕рддреНрд░рдХреЛ рд▓рд╛рдЧрд┐ рдХреБрдЮреНрдЬреА рдЬреЛрдбрд╛ рдЙрддреНрдкрдиреНрди рд╣реБрдиреНрдЫред рд╕рддреНрд░рдХреЛ рд▓рд╛рдЧрд┐ рдирд┐рдЬреА рдХреБрдЮреНрдЬреА рдкреНрд░рдпреЛрдЧрдХрд░реНрддрд╛рдХреЛ рдХрдореНрдкреНрдпреБрдЯрд░рдорд╛ рдХрдиреНрдлрд┐рдЧрд░реЗрд╕рди рдлрд╛рдЗрд▓рдорд╛ рднрдгреНрдбрд╛рд░ рдЧрд░рд┐рдПрдХреЛ рдЫред
- RSA-8192ред рдорд╛рд╕реНрдЯрд░ рд╕рд╛рд░реНрд╡рдЬрдирд┐рдХ рдХреБрдЮреНрдЬреА рдХрд╛рд░реНрдпрдХреНрд░рдордорд╛ рдирд┐рд░реНрдорд┐рдд рдЫ рд░ рдХрдиреНрдлрд┐рдЧрд░реЗрд╕рди рдлрд╛рдЗрд▓ рдЗрдиреНрдХреНрд░рд┐рдкреНрдЯ рдЧрд░реНрди рдкреНрд░рдпреЛрдЧ рдЧрд░рд┐рдиреНрдЫ, рдЬрд╕рд▓реЗ RSA-2048 рд╕рддреНрд░рдХреЛ рд▓рд╛рдЧрд┐ AES рдХреБрдЮреНрдЬреА рд░ рдЧреЛрдкреНрдп рдХреБрдЮреНрдЬреА рднрдгреНрдбрд╛рд░рдг рдЧрд░реНрджрдЫред
- Nemty рдкрд╣рд┐рд▓реЗ 32 рдмрд╛рдЗрдЯ рдЕрдирд┐рдпрдорд┐рдд рдбрд╛рдЯрд╛ рдЙрддреНрдкрдиреНрди рдЧрд░реНрджрдЫред рдкрд╣рд┐рд▓реЛ 16 рдмрд╛рдЗрдЯрд╣рд░реВ AES-128-CBC рдХреБрдЮреНрдЬреАрдХреЛ рд░реВрдкрдорд╛ рдкреНрд░рдпреЛрдЧ рдЧрд░рд┐рдиреНрдЫред
рджреЛрд╕реНрд░реЛ рдПрдиреНрдХреНрд░рд┐рдкреНрд╢рди рдПрд▓реНрдЧреЛрд░рд┐рдереНрдо RSA-2048 рд╣реЛред рдХреБрдЮреНрдЬреА рдЬреЛрдбреА CryptGenKey() рдкреНрд░рдХрд╛рд░реНрдпрджреНрд╡рд╛рд░рд╛ рдЙрддреНрдкрдиреНрди рд╣реБрдиреНрдЫ рд░ CryptImportKey() рдкреНрд░рдХрд╛рд░реНрдпрджреНрд╡рд╛рд░рд╛ рдЖрдпрд╛рдд рдЧрд░рд┐рдиреНрдЫред
рд╕рддреНрд░рдХреЛ рд▓рд╛рдЧрд┐ рдХреБрдЮреНрдЬреА рдЬреЛрдбрд╛ рдЙрддреНрдкрдиреНрди рднрдПрдкрдЫрд┐, рд╕рд╛рд░реНрд╡рдЬрдирд┐рдХ рдХреБрдЮреНрдЬреА рдПрдордПрд╕ рдХреНрд░рд┐рдкреНрдЯреЛрдЧреНрд░рд╛рдлрд┐рдХ рд╕реЗрд╡рд╛ рдкреНрд░рджрд╛рдпрдХрдорд╛ рдЖрдпрд╛рдд рдЧрд░рд┐рдиреНрдЫред
рд╕рддреНрд░рдХреЛ рд▓рд╛рдЧрд┐ рдЙрддреНрдкрдиреНрди рд╕рд╛рд░реНрд╡рдЬрдирд┐рдХ рдХреБрдЮреНрдЬреАрдХреЛ рдЙрджрд╛рд╣рд░рдг:
рдЕрд░реНрдХреЛ, рдирд┐рдЬреА рдХреБрдЮреНрдЬреА CSP рдорд╛ рдЖрдпрд╛рдд рдЧрд░рд┐рдиреНрдЫред
рд╕рддреНрд░рдХреЛ рд▓рд╛рдЧрд┐ рдЙрддреНрдкрдиреНрди рдЧрд░рд┐рдПрдХреЛ рдирд┐рдЬреА рдХреБрдЮреНрдЬреАрдХреЛ рдЙрджрд╛рд╣рд░рдг:
рд░ рдЕрдиреНрддрд┐рдо рдЖрдЙрдБрдЫ RSA-8192ред рдореБрдЦреНрдп рд╕рд╛рд░реНрд╡рдЬрдирд┐рдХ рдХреБрдЮреНрдЬреА PE рдлрд╛рдЗрд▓рдХреЛ рдбреЗрдЯрд╛ рдЦрдгреНрдбрдорд╛ рдЗрдиреНрдХреНрд░рд┐рдкреНрдЯреЗрдб рдлрд╛рд░рдо (Base64 + RC4) рдорд╛ рднрдгреНрдбрд╛рд░рдг рдЧрд░рд┐рдПрдХреЛ рдЫред
RSA-8192 рдХреБрдЮреНрдЬреА рдмреЗрд╕64 рдбрд┐рдХреЛрдбрд┐рдЩ рд░ fuckav рдкрд╛рд╕рд╡рд░реНрдбрдХреЛ рд╕рд╛рде RC4 рдбрд┐рдХреНрд░рд┐рдкреНрд╢рди рдкрдЫрд┐ рдпрд╕реНрддреЛ рджреЗрдЦрд┐рдиреНрдЫред
рдирддрд┐рдЬрд╛рдХреЛ рд░реВрдкрдорд╛, рд╕рдореНрдкреВрд░реНрдг рдПрдиреНрдХреНрд░рд┐рдкреНрд╢рди рдкреНрд░рдХреНрд░рд┐рдпрд╛ рдпрд╕реНрддреЛ рджреЗрдЦрд┐рдиреНрдЫ:
- рд╕рдмреИ рдлрд╛рдЗрд▓рд╣рд░реВ рдЗрдиреНрдХреНрд░рд┐рдкреНрдЯ рдЧрд░реНрди рдкреНрд░рдпреЛрдЧ рдЧрд░рд┐рдиреЗ резреирео-рдмрд┐рдЯ AES рдХреБрдЮреНрдЬреА рдЙрддреНрдкрдиреНрди рдЧрд░реНрдиреБрд╣реЛрд╕реНред
- рдкреНрд░рддреНрдпреЗрдХ рдлрд╛рдЗрд▓рдХреЛ рд▓рд╛рдЧрд┐ IV рд╕рд┐рд░реНрдЬрдирд╛ рдЧрд░реНрдиреБрд╣реЛрд╕реНред
- RSA-2048 рд╕рддреНрд░рдХреЛ рд▓рд╛рдЧрд┐ рдХреБрдЮреНрдЬреА рдЬреЛрдбреА рд╕рд┐рд░реНрдЬрдирд╛ рдЧрд░реНрджреИред
- base8192 рд░ RC64 рдкреНрд░рдпреЛрдЧ рдЧрд░реА рдЕрд╡рд╕реНрдерд┐рдд RSA-4 рдХреБрдЮреНрдЬреАрдХреЛ рдбрд┐рдХреНрд░рд┐рдкреНрд╢рдиред
- рдкрд╣рд┐рд▓реЛ рдЪрд░рдгрдмрд╛рдЯ AES-128-CBC рдПрд▓реНрдЧреЛрд░рд┐рджрдо рдкреНрд░рдпреЛрдЧ рдЧрд░реА рдлрд╛рдЗрд▓ рд╕рд╛рдордЧреНрд░реАрд╣рд░реВ рдЗрдиреНрдХреНрд░рд┐рдкреНрдЯ рдЧрд░реНрдиреБрд╣реЛрд╕реНред
- RSA-2048 рд╕рд╛рд░реНрд╡рдЬрдирд┐рдХ рдХреБрдЮреНрдЬреА рд░ base64 рдЗрдиреНрдХреЛрдбрд┐рдЩ рдкреНрд░рдпреЛрдЧ рдЧрд░реЗрд░ IV рдЗрдиреНрдХреНрд░рд┐рдкреНрд╢рдиред
- рдкреНрд░рддреНрдпреЗрдХ рдЗрдиреНрдХреНрд░рд┐рдкреНрдЯреЗрдб рдлрд╛рдЗрд▓рдХреЛ рдЕрдиреНрддреНрдпрдорд╛ рдЗрдиреНрдХреНрд░рд┐рдкреНрдЯреЗрдб IV рдердкреНрджреИред
- рдХрдиреНрдлрд┐рдЧрд░реЗрд╕рдирдорд╛ AES рдХреБрдЮреНрдЬреА рд░ RSA-2048 рд╕рддреНрд░ рдирд┐рдЬреА рдХреБрдЮреНрдЬреА рдердкреНрджреИред
- рдЦрдгреНрдбрдорд╛ рд╡рд░реНрдгрди рдЧрд░рд┐рдПрдХреЛ рдХрдиреНрдлрд┐рдЧрд░реЗрд╕рди рдбреЗрдЯрд╛
рдЬрд╛рдирдХрд╛рд░реА рд╕рдВрдЧреНрд░рд╣ рд╕рдВрдХреНрд░рдорд┐рдд рдХрдореНрдкреНрдпреБрдЯрд░ рдмрд╛рд░реЗ рдореБрдЦреНрдп рд╕рд╛рд░реНрд╡рдЬрдирд┐рдХ рдХреБрдЮреНрдЬреА RSA-8192 рдкреНрд░рдпреЛрдЧ рдЧрд░реЗрд░ рдЧреБрдкреНрддрд┐рдХрд░рдг рдЧрд░рд┐рдПрдХреЛ рдЫред - рдЗрдиреНрдХреНрд░рд┐рдкреНрдЯреЗрдб рдлрд╛рдЗрд▓ рдпрд╕реНрддреЛ рджреЗрдЦрд┐рдиреНрдЫ:
рдПрдиреНрдХреНрд░рд┐рдкреНрдЯреЗрдб рдлрд╛рдЗрд▓рд╣рд░реВрдХреЛ рдЙрджрд╛рд╣рд░рдг:
рд╕рдВрдХреНрд░рдорд┐рдд рдХрдореНрдкреНрдпреБрдЯрд░ рдмрд╛рд░реЗ рдЬрд╛рдирдХрд╛рд░реА рд╕рдЩреНрдХрд▓рди
ransomware рд▓реЗ рд╕рдВрдХреНрд░рдорд┐рдд рдлрд╛рдЗрд▓рд╣рд░реВ рдбрд┐рдХреНрд░рд┐рдкреНрдЯ рдЧрд░реНрди рдХреБрдЮреНрдЬреАрд╣рд░реВ рд╕рдЩреНрдХрд▓рди рдЧрд░реНрджрдЫ, рддреНрдпрд╕реИрд▓реЗ рдЖрдХреНрд░рдордгрдХрд╛рд░реАрд▓реЗ рд╡рд╛рд╕реНрддрд╡рдорд╛ рдбрд┐рдХреНрд░рд┐рдкреНрдЯрд░ рд╕рд┐рд░реНрдЬрдирд╛ рдЧрд░реНрди рд╕рдХреНрдЫред рдердк рд░реВрдкрдорд╛, Nemty рдкреНрд░рдпреЛрдЧрдХрд░реНрддрд╛ рдбреЗрдЯрд╛ рдЬрд╕реНрддреИ рдкреНрд░рдпреЛрдЧрдХрд░реНрддрд╛ рдирд╛рдо, рдХрдореНрдкреНрдпреБрдЯрд░ рдирд╛рдо, рд╣рд╛рд░реНрдбрд╡реЗрдпрд░ рдкреНрд░реЛрдлрд╛рдЗрд▓ рд╕рдЩреНрдХрд▓рди рдЧрд░реНрджрдЫред
рдпрд╕рд▓реЗ GetLogicalDrives(), GetFreeSpace(), GetDriveType() рдкреНрд░рдХрд╛рд░реНрдпрд╣рд░реВрд▓рд╛рдИ рд╕рдВрдХреНрд░рдорд┐рдд рдХрдореНрдкреНрдпреБрдЯрд░рдХреЛ рдбреНрд░рд╛рдЗрднрдХреЛ рдмрд╛рд░реЗрдорд╛ рдЬрд╛рдирдХрд╛рд░реА рд╕рдЩреНрдХрд▓рди рдЧрд░реНрджрдЫред
рд╕рдВрдХрд▓рд┐рдд рдЬрд╛рдирдХрд╛рд░реА рдХрдиреНрдлрд┐рдЧрд░реЗрд╕рди рдлрд╛рдЗрд▓рдорд╛ рднрдгреНрдбрд╛рд░ рдЧрд░рд┐рдПрдХреЛ рдЫред рд╕реНрдЯреНрд░рд┐рдЩ рдбрд┐рдХреЛрдб рдЧрд░рд┐рд╕рдХреЗрдкрдЫрд┐, рд╣рд╛рдореАрд▓реЗ рдХрдиреНрдлрд┐рдЧрд░реЗрд╕рди рдлрд╛рдЗрд▓рдорд╛ рдкреНрдпрд╛рд░рд╛рдорд┐рдЯрд░рд╣рд░реВрдХреЛ рд╕реВрдЪреА рдкрд╛рдЙрдБрдЫреМрдВ:
рд╕рдВрдХреНрд░рдорд┐рдд рдХрдореНрдкреНрдпреБрдЯрд░рдХреЛ рдЙрджрд╛рд╣рд░рдг рдХрдиреНрдлрд┐рдЧрд░реЗрд╕рди:
рдХрдиреНрдлрд┐рдЧрд░реЗрд╕рди рдЯреЗрдореНрдкреНрд▓реЗрдЯ рдирд┐рдореНрди рд░реВрдкрдорд╛ рдкреНрд░рддрд┐рдирд┐рдзрд┐рддреНрд╡ рдЧрд░реНрди рд╕рдХрд┐рдиреНрдЫ:
{"рд╕рд╛рдорд╛рдиреНрдп": {"IP":"[IP]", "рджреЗрд╢":"[рджреЗрд╢]", "рдХрдореНрдкреНрдпреВрдЯрд░рдирд╛рдо":"[рдХрдореНрдкреНрдпреВрдЯрд░рдирд╛рдо]", "рдкреНрд░рдпреЛрдЧрдХрд░реНрддрд╛ рдирд╛рдо":"[рдкреНрд░рдпреЛрдЧрдХрд░реНрддрд╛ рдирд╛рдо]", "рдУрдПрд╕": "[OS]", "isRU":false, "рд╕рдВрд╕реНрдХрд░рдг":"1.4", "CompID":"{[CompID]}", "FileID":"_NEMTY_[FileID]_", "UserID":"[ UserID]", "key":"[key]", "pr_key":"[pr_key]
Nemty рд▓реЗ JSON рдврд╛рдБрдЪрд╛рдорд╛ %USER%/_NEMTY_.nemty рдлрд╛рдЗрд▓рдорд╛ рд╕рдВрдЧреНрд░рд╣рд┐рдд рдбрд╛рдЯрд╛ рднрдгреНрдбрд╛рд░рдг рдЧрд░реНрдЫред FileID 7 рд╡рд░реНрдг рд▓рд╛рдореЛ рд░ рдЕрдирд┐рдпрдорд┐рдд рд░реВрдкрдорд╛ рдЙрддреНрдкрдиреНрди рд╣реБрдиреНрдЫред рдЙрджрд╛рд╣рд░рдгрдХрд╛ рд▓рд╛рдЧрд┐: _NEMTY_tgdLYrd_.nemtyред рдлрд╛рдЗрд▓рдЖрдИрдбреАрд▓рд╛рдИ рдПрдиреНрдХреНрд░рд┐рдкреНрдЯреЗрдб рдлрд╛рдЗрд▓рдХреЛ рдЕрдиреНрддреНрдпрдорд╛ рдкрдирд┐ рдЬреЛрдбрд┐рдПрдХреЛ рдЫред
рдлрд┐рд░реМрддреА рд╕рдиреНрджреЗрд╢
рдлрд╛рдЗрд▓рд╣рд░реВ рдЗрдиреНрдХреНрд░рд┐рдкреНрдЯ рдЧрд░реЗрдкрдЫрд┐, рдлрд╛рдЗрд▓ _NEMTY_[FileID]-DECRYPT.txt рдбреЗрд╕реНрдХрдЯрдкрдорд╛ рдирд┐рдореНрди рд╕рд╛рдордЧреНрд░реАрдХреЛ рд╕рд╛рде рджреЗрдЦрд╛ рдкрд░реНрджрдЫ:
рдлрд╛рдЗрд▓рдХреЛ рдЕрдиреНрддреНрдпрдорд╛ рд╕рдВрдХреНрд░рдорд┐рдд рдХрдореНрдкреНрдпреБрдЯрд░рдХреЛ рдмрд╛рд░реЗрдорд╛ рдЗрдиреНрдХреНрд░рд┐рдкреНрдЯреЗрдб рдЬрд╛рдирдХрд╛рд░реА рдЫред
рдиреЗрдЯрд╡рд░реНрдХ рд╕рдВрдЪрд╛рд░
ironman.exe рдкреНрд░рдХреНрд░рд┐рдпрд╛рд▓реЗ рдареЗрдЧрд╛рдирд╛рдмрд╛рдЯ Tor рдмреНрд░рд╛рдЙрдЬрд░ рд╡рд┐рддрд░рдг рдбрд╛рдЙрдирд▓реЛрдб рдЧрд░реНрджрдЫ
Nemty рддреНрдпрд╕рдкрдЫрд┐ 127.0.0.1:9050 рдорд╛ рдХрдиреНрдлрд┐рдЧрд░реЗрд╕рди рдбрд╛рдЯрд╛ рдкрдард╛рдЙрдиреЗ рдкреНрд░рдпрд╛рд╕ рдЧрд░реНрджрдЫ, рдЬрд╣рд╛рдБ рдпрд╕рд▓реЗ рдХрд╛рдо рдЧрд░реНрдиреЗ рдЯреЛрд░ рдмреНрд░рд╛рдЙрдЬрд░ рдкреНрд░реЛрдХреНрд╕реА рдлреЗрд▓рд╛ рдкрд╛рд░реНрдиреЗ рдЕрдкреЗрдХреНрд╖рд╛ рдЧрд░реНрджрдЫред рдпрджреНрдпрдкрд┐, рдкреВрд░реНрд╡рдирд┐рд░реНрдзрд╛рд░рд┐рдд рд░реВрдкрдорд╛ рдЯреЛрд░ рдкреНрд░реЛрдХреНрд╕реАрд▓реЗ рдкреЛрд░реНрдЯ 9150 рдорд╛ рд╕реБрдиреНрджрдЫ, рд░ рдкреЛрд░реНрдЯ 9050 рд▓рд╛рдИ рд▓рд┐рдирдХреНрд╕рдорд╛ рдЯреЛрд░ рдбреЗрдорди рд╡рд╛ рд╡рд┐рдиреНрдбреЛрдЬрдорд╛ рд╡рд┐рд╢реЗрд╖рдЬреНрдЮ рдмрдиреНрдбрд▓рджреНрд╡рд╛рд░рд╛ рдкреНрд░рдпреЛрдЧ рдЧрд░рд┐рдиреНрдЫред рдпрд╕рд░реА, рдЖрдХреНрд░рдордгрдХрд╛рд░реАрдХреЛ рд╕рд░реНрднрд░рдорд╛ рдХреБрдиреИ рдбрд╛рдЯрд╛ рдкрдард╛рдЗрдБрджреИрдиред рдпрд╕рдХреЛ рд╕рдЯреНрдЯрд╛, рдкреНрд░рдпреЛрдЧрдХрд░реНрддрд╛рд▓реЗ рдлрд┐рд░реМрддреА рд╕рдиреНрджреЗрд╢рдорд╛ рдкреНрд░рджрд╛рди рдЧрд░рд┐рдПрдХреЛ рд▓рд┐рдЩреНрдХ рдорд╛рд░реНрдлрдд рдЯреЛрд░ рдбрд┐рдХреНрд░рд┐рдкреНрд╢рди рд╕реЗрд╡рд╛рдорд╛ рдЧрдПрд░ рдХрдиреНрдлрд┐рдЧрд░реЗрд╕рди рдлрд╛рдЗрд▓ рдореНрдпрд╛рдиреБрдЕрд▓ рд░реВрдкрдорд╛ рдбрд╛рдЙрдирд▓реЛрдб рдЧрд░реНрди рд╕рдХреНрдиреБрд╣реБрдиреНрдЫред
Tor proxy рдорд╛ рдЬрдбрд╛рди рдЧрд░реНрджреИ:
HTTP GET рд▓реЗ 127.0.0.1:9050/public/gate?data= рдорд╛ рдЕрдиреБрд░реЛрдз рд╕рд┐рд░реНрдЬрдирд╛ рдЧрд░реНрджрдЫ
рдпрд╣рд╛рдБ рддрдкрд╛рдЗрдБ TORlocal рдкреНрд░реЛрдХреНрд╕реА рджреНрд╡рд╛рд░рд╛ рдкреНрд░рдпреЛрдЧ рдЧрд░рд┐рдПрдХрд╛ рдЦреБрд▓рд╛ TCP рдкреЛрд░реНрдЯрд╣рд░реВ рд╣реЗрд░реНрди рд╕рдХреНрдиреБрд╣реБрдиреНрдЫ:
рдЯреЛрд░ рдиреЗрдЯрд╡рд░реНрдХрдорд╛ Nemty рдбрд┐рдХреНрд░рд┐рдкреНрд╢рди рд╕реЗрд╡рд╛:
рддрдкрд╛рдИрдВрд▓реЗ рдбрд┐рдХреНрд░рд┐рдкреНрд╢рди рд╕реЗрд╡рд╛ рдкрд░реАрдХреНрд╖рдг рдЧрд░реНрдирдХреЛ рд▓рд╛рдЧрд┐ рдПрдиреНрдХреНрд░рд┐рдкреНрдЯреЗрдб рдлреЛрдЯреЛ (jpg, png, bmp) рдЕрдкрд▓реЛрдб рдЧрд░реНрди рд╕рдХреНрдиреБрд╣реБрдиреНрдЫред
рдпрд╕ рдкрдЫрд┐, рдЖрдХреНрд░рдордгрдХрд╛рд░реАрд▓реЗ рдлрд┐рд░реМрддреА рддрд┐рд░реНрди рд╕реЛрдзреНрдЫрдиреНред рднреБрдХреНрддрд╛рдиреА рдирдЧрд░реЗрдХреЛ рдЕрд╡рд╕реНрдерд╛рдорд╛ рдореВрд▓реНрдп рджреЛрдмреНрдмрд░ рд╣реБрдиреНрдЫред
рдирд┐рд╖реНрдХрд░реНрд╖рдорд╛
рд╣рд╛рд▓, Nemty рджреНрд╡рд╛рд░рд╛ рдЧреБрдкреНрддрд┐рдХрд░рдг рдЧрд░рд┐рдПрдХрд╛ рдлрд╛рдЗрд▓рд╣рд░реВрд▓рд╛рдИ рдлрд┐рд░реМрддреА рдирддрд┐рд░рд┐рдХрди рдбрд┐рдХреНрд░рд┐рдкреНрдЯ рдЧрд░реНрди рд╕рдореНрднрд╡ рдЫреИрдиред ransomware рдХреЛ рдпреЛ рд╕рдВрд╕реНрдХрд░рдг Buran ransomware рд░ рдкреБрд░рд╛рдиреЛ GandCrab: Borland Delphi рдорд╛ рд╕рдВрдХрд▓рди рд░ рдЙрд╣реА рдкрд╛рда рд╕рдВрдЧ рдЫрд╡рд┐рд╣рд░реБ рд╕рдВрдЧ рд╕рд╛рдЭрд╛ рд╕реБрд╡рд┐рдзрд╛рд╣рд░реВ рдЫрдиреНред рдердк рд░реВрдкрдорд╛, рдпреЛ рдкрд╣рд┐рд▓реЛ рдПрдиреНрдХреНрд░рд┐рдкреНрдЯрд░ рд╣реЛ рдЬрд╕рд▓реЗ 8092-рдмрд┐рдЯ RSA рдХреБрдЮреНрдЬреА рдкреНрд░рдпреЛрдЧ рдЧрд░реНрджрдЫ, рдЬреБрди, рдлреЗрд░рд┐, рдХреБрдиреИ рдЕрд░реНрде рдЫреИрди, рдХрд┐рдирдХрд┐ 1024-рдмрд┐рдЯ рдХреБрдЮреНрдЬреА рд╕реБрд░рдХреНрд╖рд╛рдХреЛ рд▓рд╛рдЧрд┐ рдкрд░реНрдпрд╛рдкреНрдд рдЫред рдЕрдиреНрддрдорд╛, рд░ рдЪрд╛рдЦрд▓рд╛рдЧреНрджреЛ рдХреБрд░рд╛, рдпрд╕рд▓реЗ рд╕реНрдерд╛рдиреАрдп рдЯреЛрд░ рдкреНрд░реЛрдХреНрд╕реА рд╕реЗрд╡рд╛рдХреЛ рд▓рд╛рдЧрд┐ рдЧрд▓рдд рдкреЛрд░реНрдЯ рдкреНрд░рдпреЛрдЧ рдЧрд░реНрдиреЗ рдкреНрд░рдпрд╛рд╕ рдЧрд░реНрджрдЫред
рдпрджреНрдпрдкрд┐, рд╕рдорд╛рдзрд╛рдирд╣рд░реВ
рд╕реНрд░реЛрдд: www.habr.com