A Flame Ransomware kiterjeszti a Chaos klóncsaládot
A Flame ransomware a fájltitkosító rosszindulatú programok újonnan felfedezett törzse, amely a Chaos ransomware családhoz tartozik.
A Flame szinte minden fájlt titkosít, amely a rendszerhez csatlakoztatott helyi meghajtókon található, majd eldobja a váltságdíjat. A titkosítási folyamat a legtöbb fájltípust érinti, beleértve a végrehajtható fájlokat, médiafájlokat, dokumentumokat, archívumokat és adatbázisokat.
A titkosított fájlok új kiterjesztést kapnak, amelyet a ransomware négy véletlenszerű alfanumerikus karakter használatával generál. Ez azt jelenti, hogy a korábban "music.ogg" nevű fájlból valami hasonló lesz a "music.ogg.ewd8"-hoz.
A zsarolóprogram létrehoz egy "read_it.txt" nevű egyszerű szöveges fájlt, amely tartalmazza a váltságdíjat. A rendszer háttérképe is lecserélődik, nagy szöveggel, amely a szövegfájl angol változatát tartalmazza.
Az egyszerű szöveges fájl orosz nyelvű, és a következőképpen zajlik:
Flame, это не вирус, это просто программа, которую вы запустили на свой же страхи риск. Давайте как договаривались, ну без фокусов и претензий. Я тебя предупреждал в дисклеймере, по поводу всех этих последствий и т.д. Не хотел бы - не запустил бы, а если не знаешь английский, мамкин ты задрот, иди учись, и не запустил бы, а если не знаешь английский, мамкин ты задрот, иди учись, и не читсье лепопустил
A háttérkép szövege a következő:
YOUR FILES HAVE BEEN ENCRYPTED*
YOUR FILES WERE ENCRYPTED BY THE FLAME UTILITY. TO DECRYPT YOUR FILES AND REMOVE THIS NOTIFICATION, CLICK ON THE "DECRYPT MY FILES" BUTTON. TECHNICAL SUPPORT - b5cce0d45fd0 at list dot ru
*Please read the disclaimer!
This program is not a virus, but just a utility that allows you to encrypt user data at will in one click.