Исследователь компании Avast обнаружил странного вымогателя PayDOS, который позднее был переименован в Seprent. Хотя малварь притворяется шифровальщиком, на самом деле она не шифрует файлы, но просто их переименовывает. Также исследователь отметил, что вредонос написан как пакетный файл (batch file) и затем конвертирован в файл исполняемый.
Первая версия вредоноса, получившая имя PayDOS, при выполнении извлекает пакетный файл в директорию %Temp% и запускает его оттуда. Малварь сканирует определенные директории и меняет буквы в расширениях файлов. К примеру, файлы .png могут превратиться в .dng.
Хотя PayDOS отображает сообщение с требованием выкупа, сообщая жертве, что ее файлы зашифрованы – это не так. Кроме переименования вредонос более не делает ничего. При этом в сообщении нет никаких контактов злоумышленников, а также платежной информации. То есть выкуп платить попросту некому. Более того, пароль для всех пострадавших оказался единым: AES1014DW256. После его ввода все файлы переименовываются обратно, можно не тратить время на переименование вручную.
Следующей модификацией данного вредоноса является Serpent. Судя по всему, этот вымогатель, как и его предшественник, находится в стадии разработки. Теперь малварь предлагает email-адрес для связи с вымогателями, однако ящика serpent.ransom@notrealemail.com не существует. Также Serpent по-прежнему не шифрует, а просто переименовывает файлы и тоже содержит жестко закодированный пароль, который возвращает все на место: RSA1014DJW2048. Единственное существенное изменение, отличающее Serpent от PayDOS, это добавление VBS-файла, который проговаривает сообщение с требованием выкупа вслух, как это делает шифровальщик Cerber.
Специалист Bleeping Computer, Лоренс Абрамс пишет, что пока Serpent и PayDOS не представляют опасности, а до полноценной «боевой» версии они могут не дорасти никогда. Согласно собственной статистике исследователя, редкие вымогатели выходят из стадии тестирования и становятся полноценными угрозами. Да и простых пакетных файлов для работы полноценного шифровальщика явно будет мало.
Фото: Depositphotos
