Zimbra ransomware viết bằng Python nhắm tới nơi lưu trữ mail của Zimbra

By | 5:29 am | 23/06/2016

Một ransomware mới được phát hiện viết bằng python và nhắm tới Zimbra. Theo báo cáo mới nhất, đối tượng của ransomware này là các thư mục lưu trữ email của zimbra và mã hóa tất cả các tệp tin nằm trong thư mục đó. Sau đó nó sẽ tạo ra thông báo đòi tiền chuộc tại /root/how.txt, số tiền khoảng 3 bitcoint để chuộc lại dữ liệu.

Zimbra ransomware mã hóa tệp tin của nạn nhân như thế nào?

Ransomware có thể được cài đặt thông qua việc xâm nhập vào các máy chủ zimbra và thực thi file python. Khi script được thực thi, nó sẽ tạo ra khóa RSA và khóa AES, key sẽ là duy nhất cho mỗi nạn nhân. Khóa AES sau đó mã hóa với khóa RSA và cả hai được gửi từ email support@aliexpress.com tới mpritsken@priest.com

Email gửi khóa

Email gửi khóa

Khi khóa được sinh ra, ransomware sẽ tạo file thông báo là how.txt tại /root/folder. How.txt chứa các hướng dẫn và khóa công khai (public key) phải được gửi đến địa chỉ email được liệt kê sau khi thanh toán.

Nội dung của file đòi tiền chuộc:

Nội dung file đòi tiền chuộc

Nội dung file đòi tiền chuộc

Ransomware sẽ thực hiện mã hóa tất cả các file trong /opt/zimbra/store (bao gồm email và mailboxes) sử dụng thuật toán AES. Các file bị mã hóa có phần mở rộng là .crypto.

Hàm mã hóa của Zimbra ransomware

Hàm mã hóa của Zimbra ransomware

Đáng tiếc là hiện tại chưa có cách nào có thể giải mã các tiệp tin đó mà không sử dụng khóa giải mã.

VNPT | Powered by TT ATTT