Xakep #305. Многошаговые SQL-инъекции
В апреле 2016 года исследователи компании Proofpoint первыми обнаружили нового на тот момент шифровальщика CryptXXX. Теперь специалисты компании заметили появление CryptXXX 2.006, которому более не страшны инструменты для дешифровки файлов.
Спустя две недели после того как CryptXXX впервые попал «на радары» исследователей, эксперты «Лаборатории Касперского» представили обновленную версию своей утилиты RannohDecryptor, предназначенной для расшифровки файлов после заражения вымогателями Rannoh, AutoIt, Fury, Crybola и Cryakl. После обновления инструмент также научился восстанавливать файлы, зашифрованные CryptXXX.
Однако угрозы в наши дни эволюционируют очень быстро, а авторы вредоносов регулярно выпускают обновленные версии своих «продуктов». Исследователи Proofpoint сообщили, что автор CryptXXX уже представил версию 2.006, с которой утилита «Лаборатории Касперского» не справляется.
Более того, если раньше пострадавшие от CryptXXX пользователи по-прежнему имели доступ к своему компьютеру и могли выходить с него в сеть (не было доступа только к зашифрованным файлам), новая версия такой «роскоши» более не предлагает. CryptXXX 2.006 блокирует машину жертвы полностью, как в старые добрые времена блокировщиков экранов, — пользователь не сможет продвинуться дальше вымогательского сообщения. Для оплаты выкупа также придется воспользоваться другим компьютером.
По данным Proofpoint, криптовымогатель по-прежнему распространяется в основном посредством вредоносной рекламы, эксплоит кита Angler или малвари Bedep. Хуже того, исследователи отмечают, что семейства малвари CryptXXX/Cerber понемногу вытесняют с лидирующих позиций шифровальщики Teslacrypt/Locky. Если малварь сохранит такие темпы распространения, очень скоро семейство CryptXXX станет шифровальщиком номер один.
Фото: IDGNS