Похоже, авторы вымогателей-шифровальщиков соревнуются в том, кто придумает наиболее эпатажное название для своего детища. На этот раз исследователи сообщили об обнаружении шифровальщика «Гитлер» (Hitler). Вымогатель блокирует компьютер, заявляет, что все файлы зашифрованы и требует, чтобы жертва приобрела карту оператора Vodafone номиналом 25 евро, которая и послужит выкупом.
Рансомварь «Гитлер» (хотя окно с требованием выкупа гласит, что это рансоНварь, очевидно, хакеры опечатались) была обнаружена специалистами компании AVG, а эксперты Bleeping Computer подвергли вредоноса тщательному анализу.
Шифровальщик состоит из комплекта файлов. Как только жертва открывает оригинальный батч-файл, Firefox32.exe прописывается в автозагрузку, и благодаря нему вымогатель стартует при каждом запуске компьютера. Файл ErOne.vbs отвлекает внимание жертвы: когда пользователь кликает на оригинальный файл с малварью, он отображает ошибку «The file could not be found!». В свою очередь, chrst.exe запускается сразу же и отображает сообщение с требованием выкупа (см. иллюстрацию выше).
Эксперты пишут, что в данный момент «Гитлер» либо находится в стадии тестирования, либо он написан так плохо, что в это трудно поверить. Вывод, что вымогатель пока находится в стадии разработки, эксперты сделали исходя из комментариев в коде, а также опираясь на тот факт, что малварь не шифрует файлы вообще, хотя и заявляет об обратном. Также исследователи предполагают, что родной язык разработчика малвари – это немецкий, так как некоторые комментарии в коде написаны на нем.
Вместо шифрования «Гитлер» просто стирает все расширения файлов в ряде директорий, а затем выводит на экран сообщение с требованием выкупа. На покупку карты Vodafone жертве отводится один час, затем отсчет в окне блокировки заканчивается, отвечавший за него файл chrst.exe «падает» сам и провоцирует синий экран смерти в Windows. После перезагрузки малварь стирает все файлы жертвы в папке %UserProfile%.
Видеодемонстрацию работы Hitler, записанную сербским исследователем GrujaRS, можно увидеть ниже.