Когда обычный троян-вымогатель попадает на компьютер жертвы, он шифрует её документы, а потом требует выкуп за расшифровку. Создатели трояна-вымогателя Ranscam сделали большой шаг вперёд. Они выкинули из этой процедуры лишние элементы и довели её до логического конца.

Большинство троянов-вымогателей должны поддерживать тот или иной криптографический алгоритм. Кроме того, им нужен командный сервер, хранящий ключи, и некий механизм, позволяющий получить их обратно после уплаты выкупа.

У Ranscam нет ни того, ни другого, ни третьего. Он ничего не шифрует и не хранит ключи. Попав на компьютер, этот троян просто удаляет файлы. Потом он, как и его предшественники требует выкуп и обещает вернуть утраченные документы. Это блеф. В действительности восстановить файлы невозможно.

Злоумыленники рассчитывают на то, что жертва не знает, что удалённые файлы потеряны навсегда, и всё равно заплатит. Иными словами, если обычный троян-вымогатель действует как рэкетир, то Ranscam можно сравнить, скорее, с мошенником. Цель та же, но методы другие.

После запуска Ranscam демонстрирует пользователю требование выкупа. За восстановление документов вредоносная программа требует 0,2 биткоина (примерно 8500 рублей). Троян обещает, что вернёт файлы, если жертва отправит деньги и нажмёт на кнопку подтверждения платежа.

В действительности после нажатия на эту кнопку выводится надпись «Платёж не подтверждён» и ещё одна угроза. На этот раз Ranscam сообщает, что за каждый неподтверждённый платёж будет удалять всё новые и новые файлы. Это сообщение получают и те, кто заплатил, и те, кто этого не делал.

Исследователи из компании Cisco, анализировавшие вредоносную программу, обнаружили, что она даже не пытается проверить, был платёж или нет. Угроза, которую показывает троян, тоже лишена смысла. К тому моменту, когда её увидит пользоаатель, файлов уже не осталось, и вернуть их нельзя.

Троян действует следующим образом. Сначала исполняемый файл на .NET запускает пакетный скрипт, который заполняет файловую систему компьютера своими копиями. После этого скрипт удаляет несколько компонентов системы, в том числе функцию восстановления, службу теневого копирования, а также ключи в реестре Windows, связанные с загрузкой в безопасном режиме.

Эффективен ли Ranscam? Это вызывает серьёзные сомнения. Исследователи заметили, что после 29 июня кошелёк Bitcoin, на который предлагается отправить выкуп, не принял ни одной транзакции. Впрочем, у этого может быть и другое объяснение. Насколько известно, массовой рассылки этого трояна пока не было. Если так, то, возможно, всё ещё впереди.



5 комментариев

  1. webmasta

    13.07.2016 at 01:02

  2. Ufanext

    13.07.2016 at 13:16

  3. komra23

    13.07.2016 at 17:46

    опечатка автора статьи, видимо спешил «увидит пользоаатель»

  4. suicidedonut

    14.07.2016 at 12:43

    Интересно, а что делать антивирусным компаниям если нет файлов которые можно расшифровать?

  5. Bishada

    20.07.2016 at 04:29

    При желании всю информацию насколько я знаю с харда можно восстановить, ежели он не был подвергнут низкоуровневому форматированию… Так что, насчет удаления файлов «безвозвратно» считаю сильно сказано.

Оставить мнение