Специалисты компании Proofpoint обнаружили нового криптовымогателя — CryptXXX. Впервые малварь была замечена в марте текущего года, ее распространял эксплоит кит Angler. Помимо обычных функций шифровальщика, CryptXXX похищает личную информацию своих жертв, их пароли, а также умеет воровать биткоины.

Вымогателя CryptXXX начал распространять известный эксплоит кит Angler. Если точнее: Angler заражал компьютеры жертв вредоносом Bedep, а тот, в свою очередь, обладает функцией скачивания дополнительной малвари. Попав в систему, Bedep скачивал на компьютер жертвы CryptXXX. Исполнение вредоносных DLL-файлов шифровальщика при этом происходит не сразу, эксперты пишут, что малварь начинает работать после рендомной задержки (к примеру, исследователи Proofpoint наблюдали задержку в 62 минуты).

cryptxxx-fig-8

После активации CryptXXX ведет себя стандартно для шифровальщика. Вымогатель шифрует данные, изменяя расширения файлов на .crypt и оставляет жертве послание с требованием выкупа в файлах de_crypt_readme.txt и de_crypt_readme.html. Также зловред подменяет аналогичным сообщением обои на рабочем столе пострадавшего. Как правило, вымогатель требует 1,2 биткоина, то есть около 34 000 рублей по текущему курсу.

cryptxxx-fig-2

cryptxxx-fig-3

Вредонос Bedep, как правило, поставляется с дополнительным компонентом для кражи данных, и, как оказалось, CryptXXX пошел по его стопам. Исследователи Proofpoint обнаружили, что шифровальщик также способен собирать информацию и учетные данные из мессенджеров, почтовых клиентов, FTP-клиентов и браузеров своих жертв. Более того, аналитики пишут, что малварь может «воровать биткоины», но не уточняют, каким образом CryptXXX это делает.

cryptxxx-fig-12
Малварь собирает информацию о мессенджерах
cryptxxx-fig-13
Сбор данных об FTP
cryptxxx-fig-15
CryptXXX похищает информацию из браузеров
cryptxxx-fig-16
CryptXXX ворует куки

В конце своего отчета исследователи отмечают, что обнаружили подозрительное сходство между CryptXXX и старым вымогателем Reveton. Оба зловреда написаны на Delphi, оба используют отложенный старт, оба называют DLL-файлы сходным образом, а также используют кастомный протокол для работы с управляющими серверами через TCP 443. Кроме того, CryptXXX и Reveton не просто шифруют данные, но и похищают личную информацию и финансы жертв.

Специалисты Proofpoint полагают, что CryptXXX могла создать та же группа, которая стоит за разработкой самого эксплоит кита Angler, малари Bedep и вымогателя Reveton. Эксперты проводят аналогию с появлением шифровальщика Locky, который возник буквально из ниоткуда в 2015 году и за считанные недели стал одной из наиболее опасных угроз. Locky смог добиться результатов так быстро, в силу того, что он работает на базе инфраструктуры известного банковского трояна Dridex. Вероятно, авторы CryptXXX пытаются повторить эту «историю успеха», опираясь на Bedep, Angler и Reveton. CryptXXX уже распространяется быстрее среднестатистического шифровальщика, а сайт злоумышленников, через который жертвы должны оплачивать выкуп, переведен на одиннадцать языков, то есть планы операторов малвари весьма масштабны.

Фото: Shutterstock      

Оставить мнение