Исследователи Malwarebytes и AVG обнаружили гибридную малварь VindowsLocker, которая вобрала в себя черты сразу нескольких распространенных на сегодня угроз. Вымогательское ПО не только использует API Pastebin и шифрует данные, но также использует тактику фальшивой технической поддержки.

Основной отличительной чертой VindowsLocker является то, что зашифровав файлы пользователя, он не отправляет жертву в даркнет, оплачивать выкуп в биткоинах. Вместо этого малварь предлагает пользователю связаться со специалистом «технической поддержки» и уладить вопрос. При этом VindowsLocker пытается создать у жертвы ощущение легитимности происходящего.

Оператор колл-центра, с которым пострадавший связывается по указанному номеру, выдает себя за сотрудника Microsoft. Мошенник инициирует сеанс удаленного доступа к машине жертвы, открывает официальную страницу поддержки Microsoft, а затем быстро вставляет в адресную строку короткий URL, который открывает форму, размещенную на JotForm. Форма призвана собрать личные данные пользователя и узнать информацию о его банковской карте. Если жертва не замечает быстрой подмены, которую осуществил мошенник, она по-прежнему верит, что находится на сайте Microsoft.

payment

Стоит сказать, что оплата выкупа в размере $349,99 ни к чему не приведет, и расшифровать файлы не удастся. Написанный на C# вымогатель использует алгоритм шифрования AES, но специалисты Malwarebytes объясняют, что авторы вредоноса допустили ошибку в коде, из-за чего VindowsLocker не способен автоматически получить ключ шифрования для каждого пользователя.

Вместо командного сервера шифровальщик использует APi Pastebin: в коде VindowsLocker жестко закодированы api_dev_key и api_user_key. С помощью этих ключей вредонос сохраняет имена зараженных машин и рендомные AES-ключи на Pastebin.

«Авторы собирались потом извлечь ключи с Pastebin, залогинившись в свой аккаунт и продав их жертвам. Достаточно умная техника, они пытались избежать проблем, которые может принести создание собственного [управляющего] сервера», — пишут исследователи.

Однако создатели VindowsLocker ошиблись с одним из API-ключей, который предназначался для разовой сессии. Это означает, что со временем такой API-ключ перестает быть действительным. В итоге файлы, связанные с профилем авторов VindowsLocker были опубликованы в открытом доступе из-под гостевой учетной записи. Из-за этого операторы малвари уже не могут воспользоваться AES-ключами, как планировали, и восстановить данные своих жертв. Впрочем, этот прокол не заставил авторов VindowsLocker свернуть свою деятельность.

pasted

В блоге Malwarebytes опубликованы технические детали работы шифровальщика. Также исследователи уже выпустили сразу два бесплатных инструмента для спасения зашифрованной информации. Пострадавшим доступен дешифровщик, разработанный экспертами Malwarebytes, и еще один дешифровщик был создан независимым исследователем, известным под псевдонимом TheWack0lian.



5 комментариев

  1. Администратор

    01.12.2016 at 14:42

    Утилита ANTI-MALWARE от MALWAREBYTES лучшее решение для быстрого сканирования и удаления различных вредоносных элементов.

  2. KastellA

    01.12.2016 at 20:04

    Хочу научиться программировать.Для этого вроде нужно перейти на Linux.Может кто подсказать, как правильно её установить и тд?Можно сразу на почту ihateu228@mail.ru

  3. AgentJordan

    06.12.2016 at 00:50

    Похоже на неудавшихся подражателей. В Индии есть компания(и), которая занимается скамом. Регистрируют доменные имена, например, yotube.com, «вешают» на них страницу с джаваскрипт’ом который не дает закрыть страницу и отображает сообщение о том что твой компьютер инфицирован и чтобы решить проблему — звони по такому то номеру. После того как ты дозвонился происходит процедура похожая на описанную в статье, только вместо расшифровки файлов тебя убеждают (посредством выполнения команд tree в cmd и других ущербных техник), что твой комп настолько заражен что сейчас вот-вот взорвется и тебе нужна срочная компьютерная помощь. Больше можно посмотреть на youtube. Один из каналов, занимающихся разоблачение называется «lewis’s tech». Кстати, на этом же канале можно подучить немного хинди.

Оставить мнение