A Flame Ransomware kiterjeszti a Chaos klóncsaládot

A Flame ransomware a fájltitkosító rosszindulatú programok újonnan felfedezett törzse, amely a Chaos ransomware családhoz tartozik.

A Flame szinte minden fájlt titkosít, amely a rendszerhez csatlakoztatott helyi meghajtókon található, majd eldobja a váltságdíjat. A titkosítási folyamat a legtöbb fájltípust érinti, beleértve a végrehajtható fájlokat, médiafájlokat, dokumentumokat, archívumokat és adatbázisokat.

A titkosított fájlok új kiterjesztést kapnak, amelyet a ransomware négy véletlenszerű alfanumerikus karakter használatával generál. Ez azt jelenti, hogy a korábban "music.ogg" nevű fájlból valami hasonló lesz a "music.ogg.ewd8"-hoz.

A zsarolóprogram létrehoz egy "read_it.txt" nevű egyszerű szöveges fájlt, amely tartalmazza a váltságdíjat. A rendszer háttérképe is lecserélődik, nagy szöveggel, amely a szövegfájl angol változatát tartalmazza.

Az egyszerű szöveges fájl orosz nyelvű, és a következőképpen zajlik:

Flame, это не вирус, это просто программа, которую вы запустили на свой же страхи риск. Давайте как договаривались, ну без фокусов и претензий. Я тебя предупреждал в дисклеймере, по поводу всех этих последствий и т.д. Не хотел бы - не запустил бы, а если не знаешь английский, мамкин ты задрот, иди учись, и не запустил бы, а если не знаешь английский, мамкин ты задрот, иди учись, и не читсье лепопустил

A háttérkép szövege a következő:

YOUR FILES HAVE BEEN ENCRYPTED*

YOUR FILES WERE ENCRYPTED BY THE FLAME UTILITY. TO DECRYPT YOUR FILES AND REMOVE THIS NOTIFICATION, CLICK ON THE "DECRYPT MY FILES" BUTTON. TECHNICAL SUPPORT - b5cce0d45fd0 at list dot ru

*Please read the disclaimer!

This program is not a virus, but just a utility that allows you to encrypt user data at will in one click.