Исследователи «Лаборатории Касперского» сообщают, что ряды малвари, написанной на Python, пополнились шифровальщиком CryPy. Это далеко не первая обнаруженная Python-малварь (до этого уже были HolyCrypt, Fs0ciety Locker и Zimbra), но CryPy интересен совсем не этим.

Командный сервер вредоноса прячется на легитимном израильском сервере, который был скомпрометирован через уязвимость в платформе Magento. Брешь позволила злоумышленникам загрузить на сервер PHP-скрипт и другие файлы, а затем использовать сервер в качестве плацдарма для управления малварью. При этом данные в обе стороны передавались посредством HTTP, безо всякой защиты.Кроме того, пострадавший сервер использовался и для организации фишинговых атак, в частности, он содержит страницы, имитирующие сайт Paypal. Исследователи пишут, что похожую тактику ранее демонстрировали операторы CTB-Locker.

Шифровальщик состоит из двух файлов: boot_common.py и encryptor.py. Первый файл отвечает за error-logging в Windows, а второй является непосредственно шифровальщиком. Специалисты «Лаборатории Касперского» пишут, что CryPy отключает на зараженной системе Registry Tools, Task Manager, CMD, Run, а также инструменты восстановления и игнорирует boot status policy.

crypyransomware_04

Эксперты полагают, что в настоящий момент CryPy находится на ранних стадиях разработки, так как пока малварь не шифрует файлы вообще, в силу того, что злоумышленники недавно сменили сервер. При этом, когда шифровальщик функционирует нормально, он примеряет интересную тактику и присваивает уникальный ключ каждому файлу. Исследователи поясняют, что в последнее время многие злоумышленники часто предлагают жертвам бесплатную расшифровку одного-двух файлов, в качестве доказательства работоспособности средства для дешифровки. Присвоение каждому файлу собственного ключа помогает облегчить данный процесс.

crypyransomware_12-1024x174

Фото: Depositphotos



5 комментариев

  1. itjunky

    15.10.2016 at 00:32

    Так так… и где же ссылка на код, скрины которого приведены в статье?

    • mastanggt

      16.10.2016 at 17:37

      Я исходники так и не нашел в инее, хотя хотелось, интересно как такое реализуется именно на питоне;:(

  2. itjunky

    15.10.2016 at 00:34

    Кроме того интересно в каком виде идёт заражение, очевидно это не python my_virus.py
    Очевидно это бинарный код, но чем именно он скомпилен и как Касперский вычленил тогда код на питоне?

  3. Феодот

    18.10.2016 at 09:46

    Вот обидно, на Python написан, а исходников не дали =( Кто-то в живую его встречал? )

Оставить мнение