Исследователи MalwareHunterTeam обнаружили нового шифровальщика — KimcilWare. Этот вредонос атакует не простых пользователей, а веб-серверы магазинов, работающих на базе Magento. Зашифровав всю информацию на сервере, KimcilWare подменяет главную страницу сайта сообщением «веб-сервер зашифрован» и требует за восстановление данных либо 1 BTC (немногим больше $400), либо просто $140.
KimcilWare is at 0/64: https://t.co/E0kb2h2iqz Not bad. 🙂 @BleepinComputer @DanielGallagher @DanielRufde @Techhelplistcom @JAMESWT_MHT
— MalwareHunterTeam (@malwrhunterteam) March 30, 2016
Платформу Magento используют более 200 000 компаний по всему миру. Эксперты сообщают, что пока масштабы заражения KimcilWare малы – шифровальщик атаковал пару десятков магазинов. Впервые малварь заметили 3 марта 2016 года на сайте, работающем под управлением Magento 1.9.1.0. Позже шифровальщик также атаковал ресурсы, работающие на базе версии 1.9.2.4. Каким образом происходит заражение, специалисты пока не разобрались, возможно, злоумышленники эксплуатируют некую уязвимость в Magento. Один из пострадавших самостоятельно установил, что в его случае малварь попала в систему вместе с расширением Helios Vimeo Video Gallery.
Независимый исследователь, известный просто под именем Джек (Jack), предположил, что KimcilWare может быть связан с другим вредоносом Дело в том, что Джек обнаружил зловреда MireWare, который требует, чтобы жертва связалась со злоумышленниками через адрес tuyuljahat@hotmail.com. Этот же email фигурирует в требовании выкупа KimcilWare. Подвергнув MireWare анализу, исследователь выяснил, что это клон Hidden Tear, после чего выдвинул предположение о том, что KimcilWare, возможно, тоже относится к данному семейству. Представили MalwareHunterTeam опровергли это предположение, KimcilWare никак не относится к Hidden Tear. Первый шифровальщик написан на PHP, а MireWare на C#.
К сожалению, подробностей о KimcilWare пока мало, хотя изучением вымогателя уже занимаются многие специалисты. К примеру, эксперт Лоренс Абрамс (Lawrence Abrams) рассказал на сайте Bleeping Computer, что шифровальщик использует блочный шифр Rijndael.
Компания Magento, в качестве меры предосторожности, уже заблокировала распространение расширения Helios Vimeo Video Gallery. Однако исследователи полагают, что KimcilWare лишь пока ориентируется на сайты под управлением Magento, а в теории вымогатель может атаковать и любые другие платформы.
To clear the things: We aren't 100% sure that KimcilWare only targets Magento, but we found no evidence of that it's not. @piotrekkaminski
— MalwareHunterTeam (@malwrhunterteam) March 30, 2016