Компромат.Ru ®

Читают с 1999 года

Весь сор в одной избе

Библиотека компромата

Троянская доля Мойзеса Гонсалеса

Венесуэльский кардиолог уличен в создании вирусов-вымогателей Jigsaw и Thanos

Оригинал этого материала
© CNews.ru, 18.05.2022, Создателем прогремевших на весь мир троянов оказался пожилой законопослушный врач-кардиолог, Фото: justice.gov, Иллюстрация: justice.gov, bleepingcomputer.com

Эльяс Касми

Мойзес Луис Загала Гонсалес
Мойзес Луис Загала Гонсалес
Власти США выявили разработчика вредоносных программ Jigsaw и Thanos, получивших широкое распространение в конце прошлого десятилетия. Им оказался 55-летний кардиолог из Венесуэлы. Со слов его родственников, программированию он обучился самостоятельно. Свое ПО он продавал и даже лицензировал одним хакерам, а другие получали его бесплатно в обмен на часть прибыли от атак.

Хакер под маской врача

Министерство юстиции США сегодня обвинило 55-летнего гражданина Венесуэлы Мойзеса Луиса Загала Гонсалеса (Moises Luis Zagala Gonzalez) в создании нашумевших вирусов-вымогателей, пишет портал Bleeping Computer. По утверждению представителей ведомства, именно он ответственен за создание шифровальщиков Jigsaw и Thanos.

В документах американского Минюста указано, что Гонсалес, работающий кардиологом имеющий двойное гражданство (Венесуэла и Франция) не стал ограничиваться одной лишь разработкой Jigsaw и Thanos. По утверждению властей, он продавал и лицензировал их другим хакерам, а также предлагал им свои услуги по техподдержке малварей и обучению их использованию.

Compromat.Ru: 74581
ID-карта Мойзеса Луиса Загала Гонсалеса
Дополнительным гонораром Гонсалеса, по информации Минюста, являлась часть выкупа, который получали хакеры от своих жертв. В киберпреступном сообществе кардиолог был известен под псевдонимами Nosophoros, Aesculapius и Nebuchadnezzar.

«Многозадачный врач, лечив пациентов, попутно создал и назвал свой киберинструмент в честь смерти (Thanos — в честь Tanatos олицетворения смерти в греческой мифологии — прим. CNews), а также зарабатывал на глобальной экосистеме программ-вымогателей, в которой продавал инструменты для проведения атак программ-вымогателей, обучал злоумышленников тому, как вымогать деньги у жертв, а затем хвастался успешными атаках, в том числе со стороны злоумышленников, связанных с правительством Ирана», а — заявил прокурор США Брион Пис (Breon Peace).

Творения Гонсалеса

Jigsaw — это первое творение кардиолога, проживающего в Сьюдад-Боливаре (Венесуэла). По данным Bleeping Computer, этот вымогатель не проявлял активность с осени 2021 г., хотя и до этого он использовался нечасто, в том числе и потому, что для него существует бесплатный дешифровщик. Что вдохновило Гонсалеса назвать свой продукт именно так, остается неизвестным. Не исключено, что это отсылка к фильмам серии «Пила» (Jigsaw). Также это может быть связано с популярным видом головоломок jigsaw puzzle, в России известным просто как «пазл».

На основе оригинального Jigsaw, по данным Минюста США, хакер разработал Jigsaw 2.0, в который встроил так называемый счетчик «судного дня» (Doomsday counter). Он отслеживал, сколько раз пользователь пытался уничтожить программу-вымогатель на своем ПК. «Если пользователь слишком много раз уничтожает программу-вымогатель, то ясно, что он не будет платить, поэтому лучше стереть весь жесткий диск», — приводят представители Минюста цитату из описания к вредоносу.

Во второй половине 2019 г. Гонсалес начал рекламировать свой новый продукт — Thanos. Вероятно, название является отсылкой к одноименному злодею из вселенной Marvel, который уничтожил половину всего живого во Вселенной. Имя персонажа является выводом из имени Танатос, олицетворения смерти в греческой мифологии.

Compromat.Ru: 74582
Интерфейс Thanos
Thanos представляет собой своего рода конструктор по созданию программ-вымогателей. С его помощью хакеры могут создавать собственные вредоносы для дальнейшего использования или предоставления в аренду другим киберпрестуникам. Thanos распространялся по модели Ransomware-as-a-Service («Вымогатель-как-услуга», RaaS)

Схема заработка

Гонсалес разработал целую схему монетизации своих вредоносов, которую наиболее успешно применял с Thanos. Он предложил всем интересующимся два способа заполучить его продукт.

Compromat.Ru: 74583
Активность программы-вымогателя Thanos
Первый подразумевал покупку «лицензии» на использование Thanos. Такая лицензия имела свой срок действия, а в сам конструктор был встроен скрипт, в котором прописаны алгоритмы фонового подключения к специальному серверу для проверки действительности лицензии. Сервер размещался в Шарлотте (Северная Каролина, США). Стоимость базовой лицензии составляла $500 (31,8 тыс. руб. по курсу ЦБ на 18 мая 2022 г.). Она подразумевала лишь ограниченный набор возможностей конструктора. За $800 (50,8 тыс. руб.) клиенты получали доступ ко всем функциям Thanos.

Второй способ сам Гонсалес называл «партнерской программой». Хакер открывал желающим доступ к Thanos в обмен на часть выкупа. Расплачиваться с ним можно было как фиатными деньгами, так и криптовалютой, включая Monero и Bitcoin.

Максимальная клиент-ориентированность

Гонсалес продвигал Thanos на различных онлайн-форумах, часто посещаемых киберпреступниками, используя псевдонимы, отсылающие к греческой мифологии. Двумя его любимыми прозвищами были «Эскулап» (Aesculapius), относящееся к древнегреческому богу медицины, и «Нософор» (Nosophoros), что в переводе с греческого означает «носящий болезни». В публичной рекламе программы Гонсалес хвастался, что программы-вымогатели, созданные с помощью Thanos, почти не выявляются антивирусными программами и что «после завершения шифрования программа-вымогатель удаляет себя, делая обнаружение и восстановление почти невозможными для жертвы».

В приватных беседах с клиентами Гонсалес объяснял, как развертывать свои продукты для вымогателей — как составить записку с требованием выкупа, украсть пароли с компьютеров-жертв и установить биткоин-адрес для выплаты выкупа. Помимо этого, он объяснял им все тонкости работы своего ПО.

Клиенты Гонсалеса положительно оценили его продукцию. В июле 2020 г. один человек опубликовал сообщение, восхваляющее Таноса, написав: «Я купил программу-вымогатель у Nosophoros, и она очень мощная». Он добавил, что использовал софт Гонсалеса для заражения сети примерно из 3000 компьютеров.

В декабре 2020 г. другой пользователь написал пост на русском языке: «Работаем с этим продуктом уже больше месяца, имеем хорошую прибыль! Лучшая поддержка, которую я встречал».

Потенциальный переезд в тюрьму

Американские власти начали выслеживать Гонсалеса весной 2020 г. В первых числах мая 2020 г. сотрудник ФБР под прикрытием вышел с ним на связь и стал обсуждать подключение к его «партнерской» программе. Хакер отказал, но предложил купить у него лицензию.

Расследование шло два года, все его аспекты Минюст пока не раскрывает. Известно лишь, что к началу мая 2022 г. сотрудники ФБР уже вычислили связь Гонсалеса с Thanos. Они опросили одного из его родственников, проживающего во Флориде (США), чей счет в сети PayPal Гонсалес использовал для получения незаконных доходов. Этот родственник подтвердил, что Гонсалес проживает в Венесуэле, и что программированию он обучился самостоятельно.

Тот же родственник согласился предоставить агентам ФБР контактную информацию Гонсалеса в своем телефоне. Она совпала с зарегистрированным адресом электронной почты для вредоносной инфраструктуры, связанной с Thanos.

В настоящее время создателю Thanos грозит тюремный срок. Его могут посадить на 10 лет — до пяти лет он может получить за попытку взлома компьютера, и еще столько же — за сговор с целью взлома компьютера.

***

Оригинал этого материала
© Xakep.ru, 13.04.2016, Иллюстрация: softpedia.com

Троян-вымогатель Jigsaw удаляет файлы, пока ему не заплатят

Олег Парамонов

Новый троян-вымогатель под названием Jigsaw не только шифрует файлы, но и даёт жертве действенный стимул не медлить с выкупом. Для этого он удаляет документы с диска один за другим, пока ему не заплатят.

После запуска троян отыскивает на накопителях заражённого компьютера файлы 226 различных типов, шифрует их при помощи алгоритма AES и переименовывает, добавляя расширение .fun (другие модификации Jigsaw используют расширения .gws, .kkk и .btc).

Когда файлы зашифрованы, вредоносная программа выводит на экран портрет Конструктора из серии фильмов «Пила» (по-английски этого персонажа зовут Jigsaw, чем и объясняется название трояна). К портрету прилагается витиеватая записка с угрозами и требованием заплатить выкуп.

Compromat.Ru: 74584
Зараженный вирусом Jigsaw компьютер
Размер выкупа составляет 0,4 биткоина (чуть больше 11 тысяч рублей). В том случае, если жертва не переведёт деньги в течение часа, Jigsaw удалит один из зашифрованных файлов. После этого с каждым прошедшим часом он будет удалять всё больше и больше файлов, но выключать или перезагружать компьютер лучше не стоит. Когда он заработает снова, пропадёт сразу тысяча файлов.

Специалисты по вредоносному софту Майкл Гиллеспи, Лоуренс Абрамс и хакерская группа MalwareHunterTeam разработали программу JigSawDecrypter, которая вскрывает шифрование Jigsaw. Перед её запуском необходимо вручную остановить процессы firefox.exe и drpbx.exe (этими названиями, как правило, маскируются процессы трояна).

***

Оригинал этого материала
© Xakep.ru, 07.09.2020, Иллюстрация: via Xakep.ru

Шифровальщик Thanos пытается перезаписывать MBR

Мария Нефёдова

Специалисты Palo Alto Networks заметили, что шифровальщик Thanos обзавелся новой функциональностью и пытается вносить изменения в MBR (Master Boot Record) на зараженных машинах, чтобы воспрепятствовать нормальному запуску системы.

В частности такое поведение вредоноса было зафиксировано в июле 2020 года, во время двух атак на госучреждения на Ближнем Востоке и Северной Африке. К счастью, авторы малвари допустили ошибку в коде, и MBR пострадавших систем остается целым.

«Перезапись MBR — это более деструктивный подход к вымогательским атакам. Жертвам придется приложить больше усилий, чтобы восстановить свои файлы, даже если они заплатят выкуп. К счастью, в данном случае код, отвечающий за перезапись MBR, не срабатывал, так как сообщение с требованием выкупа [которое должно выводиться на экране блокировки] содержало недопустимые символы», — рассказывают аналитики Palo Alto Networks.

Хотя перезаписать MBR малвари не удалось, во время упомянутых атак операторы Thanos создали на зараженных машинах обычные текстовые файлы HOW_TO_DECIPHER_FILES.txt и потребовали у своих жертв 20 000 долларов за восстановление данных. При этом у экспертов нет информации о том, согласились ли пострадавшие на уплату выкупов.

Compromat.Ru: 74585
Вымогательское послание Thanos
Исследователи полагают, что злоумышленники проникли в целевые сети задолго до развертывания пейлоадов вымогателя, так как в образцах, восстановленных после атаки, удалось обнаружить действительные учетные данные.

Thanos представляет собой RaaS (Ransomware-as-a-Service), который активно рекламируется на русскоязычных хакерских форумах с февраля 2020 года. Некоторые образцы Thanos также фигурировали в отчетах экспертов под названием Hakbit (из-за различных расширений, который шифровальщик оставляет после себя), но исследователи из Recorded Future пишут, что это была одна и та же малварь.

SecurityLab.ru, 17.05.2022, "55-летний кардиолог оказался автором опасного вымогательского ПО": Thanos перестал появляться в сообщениях о взломе ID-Ransomware c февраля 2022 года, а в июне 2021 года на VirusTotal произошла утечка конструктора вредоносных программ Ransomware Builder.

Некоторые образцы вредоносного ПО Thanos ранее были помечены как Prometheus, Haron или Hakbit из-за различных форматов шифрования, используемых аффилированными лицами. Однако, группа Insikt из Recorded Future обнаружила, что это одна и та же программа.

«Основываясь на сходстве кода, повторном использовании строк и базовой функциональности, Insikt Group с высокой степенью уверенности оценивает, что образцы программы Hakbit созданы с использованием конструктора Thanos Ransomware Builder, разработанного Nosophoros», - говорится в сообщении Insikt Group.

По словам Министерства юстиции США, Zagala публично обсуждал использование его инструментов «клиентами», «в том числе путем ссылки на новостную статью об использовании хакерской группой, спонсируемой иранским государством, программы Thanos для атак на израильские компании», согласно отчету ClearSky об операции Operation Quicksand. — Врезка К.ру

Другие материалы раздела:
Паутина для доверчивых
📁 Фильтрация Компромaт.Ру +
📁 Дубик всеблокирующий =>
📁 Кремль атакует Рунет +
Yota стала цензором
ГосНетКонтроль
Антикоррупционный "Посейдон"
📁 Охота на экстремизм в Сети +
📁 Ответственность за коммент. +
Ответственность за ссылку
Виртуальные бандиты
Вредоносы-вымогатели
Кибер-империя зла
Топ разыскиваемых ФБР хакеров
Про хакеров для "чайников"
Как отбиться от хакера
Классификатор "русских хакеров"
Особенности национального хака
Порно, спам и пиратская музыка
Экономика инет-мошенничества
Схема финансовой кибер-ОПГ
"Черные списки" в Интернете
Основы информационной войны
📁 Сурковская сеть +
Спам-канализация "ЕдРа"
📁 DDoS-атаки в ПолитРунете +
Призма Володина
Полит- и бизнес-пиар в ЖЖ
"Черный пиар" в соцсетях
Потребители политинфы в ЖЖ
Тысячников поймали на заказухе
Рейтинг инфоцыган
Rexona опиарилась в блогах
📁 Тролли в Рунете +
Политические форумы Рунета
📁 Сайты власти +
📁 Доменная зона РФ +
Как регулируются домены в СНГ
Эл. почта без тайны связи
Твит-цензура на Универсиаде
Скупка доменов-однофамильцев
Давидович растерял домены
Суд запретил YouTube
Бараны vs "Умное голосование"
YouTube запрещен без суда
Атака на сайт президента РФ
📁 Угрозы Матвиенко =>
📁 Дело сайта "УфаГубЪ" +
📁 "Ковровский форум" +
Дело "Костромских Джедаев"
Обидно.Ру
Экстремизм на "Самиздате"
Экстремисты на форуме Ура.ру
Запрос IP за комменты на Ура.ру
Дело "Вятского наблюдателя"
Dead-Moros - клеветник
📁 Дело Терентьева (Коми) +
📁 Алкснис против ЖЖиста +
Приговор блогеру Кирилину
Компьютер блогера уничтожить
Условный срок за песню
Каганова лишили сайта
В Сети поймали русофоба
Из зоны .ru на зону
Тройка-сталь vs Мегасофта
Интернет как улика
Бизнес по Фрейду
Дрочеры напрокат
Рекламный фальш-трафик
Технология "порнонакрутки"
Порнотехнологии от BMW
Закрытая "статистика"
Весь Рунет делал "ЭТО"
Шантаж политиков
Министрам сделали и-нет
Власть качает фильмы и порно
В интернете разрешили порно
Порностудии "грабят" пиратов
Лужков о "пауках из интернета"
Москва отказывается от сайтов
Фашистский сайт антифашистов
Нацисты атакуют Интернет
Аморальная история
📁 Адагамов (drugoi) педофил +
Андреев и Badoo
Абдулнасыров и Lingualeo
Вербицкий и "дело о бороде"
📁 Белоусов vs Рябыко +
📁 Волож и Yandex.Ru +
📁 Ombudsment Воронцов +
📁 Гельман Марат =>
📁 Греков Ярослав (Моська) +
📁 Дуров и "ВКонтакте" +
Енцов и "Литмир"
📁 Карачинский Анатолий =>
Клименко и торренты Torrnado
📁 Олег Куваев и Масяня +
📁 Лебедев Артемий +
Лифшиц и Cyber-safety.ru
Лихтенштейн и взлом Bitfinex
📁 Мамут и Афиша-Рамблер-SUP +
Муромский и хакер-группа REvil
Можаев Дмитрий и "2Sun"
Интернет-омбудсмен Мариничев
📁 Носик Антон +
📁 Павловский Глеб =>
Попков и "Однокласники"
📁 Рыков Константин (Форис) +
📁 Огородникова взяли за взятку +
Сачков (Group-IB) на госизмене
Себрант Андрей
📁 Солдатов и Reliable Comm. +
Трухин и Zaycev.net
📁 Чиракадзе и Право.ру +
📁 Шилов и AT Consulting +
Экслер Алекс
📁 Криминальные услуги Auto.Ru +
Схема с фейковыми сайтами
Сайт о Балаковской АЭС
Продажный рейтинг "Банкир. Ру"
Cyberplat торгует детским порно
📁 Газета.Ру +
Подтасовки от Газеты и Ленты
📁 Блокировка Ингушетия.Ру +
"Комстару" закон не писан
📁 Лента.Ру +
📁 "Макхост" +
📁 "Саспенды" в Livejournal.com +
Утечка базы Mamba.ru.
📁 Mail.Ru (Port.Ru).Три жизни +
📁 "Новый фокус" конфисковали +
СДЭК и мошенники
Черный пиар "Озоновой дыры"
📁 "РБК" +
Русские зомби-машины RBN
📁 RLE.Ru.Взлом конкурента +
РТКОММ vs .masterhost
📁 Ru-Center - киберсквотер +
Заразный сайт "Собеседника"
SpyLog.Двойные стандарты
📁 Пираты из ФЛБ +
📁 Трест "Рунет" +
Партии идут www
Партийная паутина
Мультики про это
Проститутки на putin2000.ru
Провайдерские войны
"Дело Плещука". RBS
"Дело Серебряного". DirecTV
📁 "Дело Левина". Ситибанк +
Убийство Сухомлина (Чечня.Ру)
Опустить конкурента на форумах
Рейтинг исков о защите дел. репут.
Смерть главного спамера
Взломы хакерских форумов
📁 Аникеев и "Шалтай-Болтай" +
Группа "Али Баба и 4"
📁 Богачев и GameOver Zeus +
Бойко и QQAAZZ
Бурков и Cardplanet
Ваулин и KickassTorrents
📁 Винник и BTC +
Потрошитель корп.счетов Глотов
📁 Игорь Гусев и Glavmed +
Дубников и EggChange
Золотарев, Лопатин и Carder.su
📁 Врублевский и Chronopay +
Капканов и сеть "Avalanche"
📁 Кислицын и хакер Никулин +
Китуашвили и Смотра.ру
📁 Козловский, Еремин и Lurk +
📁 Спамер-педофил Л.Куваев +
📁 "Троян" Никиты Кузьмина +
📁 Левашов (Severa) и Kelihos +
Марченко, Сабитов и DDos-Guard
📁 Медведев и группа Infraud +
Спамер Николаенко и Mega-D
"Троян" SpyEye Панина
Петуховский и Suex
Банковские боты Покорских
📁 Похититель карт Селезнев +
📁 Смилянец и похитители карт +
Кардер Строганов (Flint24)
Билетное ОПС Сумбаева
Андрей Тюрин и Гери Шалон
📁 Фомченков и эл.платежи +
Хорохорин и CarderPlanet
Шведов и Legalizer
Хакер Хэлл - Максимов
Максим Якубец и Evil Corp.
📁 Якубец и Ковальский +
"Хакеры ГРУ" и NotPetya
📁 Союз хакеров и трейдеров +
📁 Сайт адюльтера AshleyMadison +
eBay и травля блогеров
Файлообменник EX.ua
📁 Торрент-трекер Interfilm.ru +
📁 "Отмывочная" Liberty Reserve +
Криминальный Megaupload.com
Сайт RusLeaks.com
Грег Блатт и Tinder
Анонимусы взломали Stratfor
Хирург-вымогатель Гонсалес
Штрафы за "обратную связь"
Алекс Джонс и InfoWars.com
Озер и криптобиржа Thodex
Сутенер Энди Рубин
📁 Тим Кук и Apple +
📁 Продажная Wikipedia +
Фемида судит по "Википедии"
📁 Компромат-сайт Wikileaks.org +
📁 Sony хакнули за Ким Чен Ына +
📁 Майер и Yahoo +
Утечка из Yves Rocher
Liberation:задержан за коммент
ЕСПЧ наказал СМИ за комменты
📁 "Право быть забытым" +
Хостеры пиратам не подельники
📁 Интернет и "большой брат" +
Кто за кем следит
Shodan: охота за устройствами
📁 Трэвис Каланик и Uber +
📁 Цукерберг и Facebook +
Секс-шалости "звезд". Фото
"Hackerazzi" дали 10 лет
Рынок взломанных аккаунтов
Рынок копий паспортов
Рынок "цифровых личностей"
Утечка данных избирателей США
Записная книжка Пэрис Хилтон
📁 Яндекс нашел блядей в СПС =>
📁 Дело Kavkaz.org живет =>
Сеть из 70 тыс. педофилов
📁 "Пират Робертс" и Silk Road +
"Покерная пирамида" Full Tilt
Эпплбаум и Tor Project
Торговля ботами в США
Twitter подсматривает за членами
Интернет-табу для школьников
Порно-облава на 136 сайтов
Коноплю выкуривают из паблика
Наркорынок в русском даркнете
"Гидре" отрубили серверы
Рынок труда даркнета
Фальшивомонетчики в даркнете
Разгрузка инвесторов в Telegram
Блокировка записи о блокировке
Блокировка офшорных доменов
Блокировка приложений
📁 Блокировка анонимайзеров +
Блокировка за колбасу
Блокировка пустоты
Блокировка сайтов о топорах

Знаком '+' отмечены подразделы,
а '=>' - ссылки между разделами.

Drudge Report Рейтинг@Mail.ru

Compromat.Ru ® — зарегистрированный товарный знак. Св. №319929. 18+. info@compromat.ru