Исследователи Malwarebytes и AVG обнаружили гибридную малварь VindowsLocker, которая вобрала в себя черты сразу нескольких распространенных на сегодня угроз. Вымогательское ПО не только использует API Pastebin и шифрует данные, но также использует тактику фальшивой технической поддержки.

Основной отличительной чертой VindowsLocker является то, что зашифровав файлы пользователя, он не отправляет жертву в даркнет, оплачивать выкуп в биткоинах. Вместо этого малварь предлагает пользователю связаться со специалистом «технической поддержки» и уладить вопрос. При этом VindowsLocker пытается создать у жертвы ощущение легитимности происходящего.

Оператор колл-центра, с которым пострадавший связывается по указанному номеру, выдает себя за сотрудника Microsoft. Мошенник инициирует сеанс удаленного доступа к машине жертвы, открывает официальную страницу поддержки Microsoft, а затем быстро вставляет в адресную строку короткий URL, который открывает форму, размещенную на JotForm. Форма призвана собрать личные данные пользователя и узнать информацию о его банковской карте. Если жертва не замечает быстрой подмены, которую осуществил мошенник, она по-прежнему верит, что находится на сайте Microsoft.

payment

Стоит сказать, что оплата выкупа в размере $349,99 ни к чему не приведет, и расшифровать файлы не удастся. Написанный на C# вымогатель использует алгоритм шифрования AES, но специалисты Malwarebytes объясняют, что авторы вредоноса допустили ошибку в коде, из-за чего VindowsLocker не способен автоматически получить ключ шифрования для каждого пользователя.

Вместо командного сервера шифровальщик использует APi Pastebin: в коде VindowsLocker жестко закодированы api_dev_key и api_user_key. С помощью этих ключей вредонос сохраняет имена зараженных машин и рендомные AES-ключи на Pastebin.

«Авторы собирались потом извлечь ключи с Pastebin, залогинившись в свой аккаунт и продав их жертвам. Достаточно умная техника, они пытались избежать проблем, которые может принести создание собственного [управляющего] сервера», — пишут исследователи.

Однако создатели VindowsLocker ошиблись с одним из API-ключей, который предназначался для разовой сессии. Это означает, что со временем такой API-ключ перестает быть действительным. В итоге файлы, связанные с профилем авторов VindowsLocker были опубликованы в открытом доступе из-под гостевой учетной записи. Из-за этого операторы малвари уже не могут воспользоваться AES-ключами, как планировали, и восстановить данные своих жертв. Впрочем, этот прокол не заставил авторов VindowsLocker свернуть свою деятельность.

pasted

В блоге Malwarebytes опубликованы технические детали работы шифровальщика. Также исследователи уже выпустили сразу два бесплатных инструмента для спасения зашифрованной информации. Пострадавшим доступен дешифровщик, разработанный экспертами Malwarebytes, и еще один дешифровщик был создан независимым исследователем, известным под псевдонимом TheWack0lian.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    5 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии