Исследователи Malwarebytes и AVG обнаружили гибридную малварь VindowsLocker, которая вобрала в себя черты сразу нескольких распространенных на сегодня угроз. Вымогательское ПО не только использует API Pastebin и шифрует данные, но также использует тактику фальшивой технической поддержки.

Основной отличительной чертой VindowsLocker является то, что зашифровав файлы пользователя, он не отправляет жертву в даркнет, оплачивать выкуп в биткоинах. Вместо этого малварь предлагает пользователю связаться со специалистом «технической поддержки» и уладить вопрос. При этом VindowsLocker пытается создать у жертвы ощущение легитимности происходящего.

Оператор колл-центра, с которым пострадавший связывается по указанному номеру, выдает себя за сотрудника Microsoft. Мошенник инициирует сеанс удаленного доступа к машине жертвы, открывает официальную страницу поддержки Microsoft, а затем быстро вставляет в адресную строку короткий URL, который открывает форму, размещенную на JotForm. Форма призвана собрать личные данные пользователя и узнать информацию о его банковской карте. Если жертва не замечает быстрой подмены, которую осуществил мошенник, она по-прежнему верит, что находится на сайте Microsoft.

payment

Стоит сказать, что оплата выкупа в размере $349,99 ни к чему не приведет, и расшифровать файлы не удастся. Написанный на C# вымогатель использует алгоритм шифрования AES, но специалисты Malwarebytes объясняют, что авторы вредоноса допустили ошибку в коде, из-за чего VindowsLocker не способен автоматически получить ключ шифрования для каждого пользователя.

Вместо командного сервера шифровальщик использует APi Pastebin: в коде VindowsLocker жестко закодированы api_dev_key и api_user_key. С помощью этих ключей вредонос сохраняет имена зараженных машин и рендомные AES-ключи на Pastebin.

«Авторы собирались потом извлечь ключи с Pastebin, залогинившись в свой аккаунт и продав их жертвам. Достаточно умная техника, они пытались избежать проблем, которые может принести создание собственного [управляющего] сервера», — пишут исследователи.

Однако создатели VindowsLocker ошиблись с одним из API-ключей, который предназначался для разовой сессии. Это означает, что со временем такой API-ключ перестает быть действительным. В итоге файлы, связанные с профилем авторов VindowsLocker были опубликованы в открытом доступе из-под гостевой учетной записи. Из-за этого операторы малвари уже не могут воспользоваться AES-ключами, как планировали, и восстановить данные своих жертв. Впрочем, этот прокол не заставил авторов VindowsLocker свернуть свою деятельность.

pasted

В блоге Malwarebytes опубликованы технические детали работы шифровальщика. Также исследователи уже выпустили сразу два бесплатных инструмента для спасения зашифрованной информации. Пострадавшим доступен дешифровщик, разработанный экспертами Malwarebytes, и еще один дешифровщик был создан независимым исследователем, известным под псевдонимом TheWack0lian.

5 комментариев

  1. Администратор

    01.12.2016 at 14:42

    Утилита ANTI-MALWARE от MALWAREBYTES лучшее решение для быстрого сканирования и удаления различных вредоносных элементов.

  2. KastellA

    01.12.2016 at 20:04

    Хочу научиться программировать.Для этого вроде нужно перейти на Linux.Может кто подсказать, как правильно её установить и тд?Можно сразу на почту ihateu228@mail.ru

  3. AgentJordan

    06.12.2016 at 00:50

    Похоже на неудавшихся подражателей. В Индии есть компания(и), которая занимается скамом. Регистрируют доменные имена, например, yotube.com, «вешают» на них страницу с джаваскрипт’ом который не дает закрыть страницу и отображает сообщение о том что твой компьютер инфицирован и чтобы решить проблему — звони по такому то номеру. После того как ты дозвонился происходит процедура похожая на описанную в статье, только вместо расшифровки файлов тебя убеждают (посредством выполнения команд tree в cmd и других ущербных техник), что твой комп настолько заражен что сейчас вот-вот взорвется и тебе нужна срочная компьютерная помощь. Больше можно посмотреть на youtube. Один из каналов, занимающихся разоблачение называется «lewis’s tech». Кстати, на этом же канале можно подучить немного хинди.

Оставить мнение

Check Also

В Google Play нашли 87 вредоносных модов для Minecraft

Почти миллион человек загрузил из каталога Google Play малварь, замаскированную под моды д…