Специалисты компании Recorded Future заметили, что на одном из русскоязычных хакерских форумов в продаже появился новый вымогатель Karmen. Авторы малвари решили монетизировать свой «продукт» в формате Ransomware-as-a-Service (RaaS), и шифровальщик был оценен всего в $175.
Согласно данным исследователей, работа над Karmen началась еще в конце прошлого года, когда русскоязычный хакер, известный под псевдонимом DevBitox, объединился с неким «коллегой» из Германии. Последний занялся переделкой опенсорсной малвари Hidden Tear, на базе кода которой в итоге и был создан Karmen, а DevBitox написал RaaS-бэкэнд для вымогателя.
В рекламе хакеры пишут, что вымогатель работает на нескольких языках, может похвастаться небольшим размером, а для шифрования файлов Karmen использует алгоритм AES-256. Вымогатель имеет адаптивную панель управления, предлагает каждой жертве разные биткоин-кошельки для оплаты, а после получения выкупа дешифровка данных производится автоматически.
Кроме того, малварь умеет обнаруживать песочницы, виртуальные машины, дебаггеры. С данной функцией связана еще одна интересная особенность шифровальщика. Аналитики Recorded Future предупреждают, что обнаружив песочницу или что-либо подозрительное, Karmen не просто прекращает работу, но удаляет дешифратор, делая спасение файлов невозможным. Также авторы обещают, что шифровальщика не обнаруживает большинство антивирусов. На самом деле это не совсем так.
По данным Recorded Future, уже было продано более 20 копий Karmen, однако исследователи полагают, что шифровальщик совсем не так страшен. Еще в марте 2017 года известный ИБ-эксперт, Майкл Гиллеспи (Michael Gillespie) предложил пострадавшим обращаться к нему за помощью. Более того, против Karmen, вероятно, могут помочь старый дешифровщик для Hidden Tear или аналогичный инструмент Avast.
В ролике ниже можно увидеть Karmen в работе.