ИБ-специалист и основатель сайта Bleeping Computer, Лоренс Абрамс (Lawrence Abrams) сообщил, что исследователь MalwareHunterTeam обнаружил вымогателя Zenis, который не только шифрует файлы пользователей, но целенаправленно повреждает их резервные копии.
Хотя о векторе распространения нового шифровальщика пока ничего неизвестно, эксперты отмечают, что пострадавших пользователей уже немало. По данным MalwareHunterTeam, первые версии вредоноса использовали кастомный метод шифрования файлов, но теперь разработчики вымогателя перешли на AES, и восстановить данные после атаки Zenis пока не представляется возможным. К работе над этой проблемой уже подключился известный ИБ-эксперт Майкл Гиллеспи (Michael Gillespie), так что специалисты призывают пользователей не торопиться платить злоумышленникам выкуп.
Как уже было сказано выше, о векторах распространения малвари пока ничего неизвестно, хотя исследователи полагают, что вымогатель может распространяться через взломанные сервисы Remote Desktop.
Эксперты рассказывают, что Zenis обладает несколькими отличительными чертами. Так, перед началом работы шифровальщик проводит в зараженной системе две проверки. Сначала Zenis проверяет, совпадает ли имя исполняемого файла с iis_agent32.exe (регистр не важен). Затем ищет в реестре HKEY_CURRENT_USER\SOFTWARE\ZenisService и проверяет его активность. Если такое значение в реестре обнаруживается, или имя файла не совпадает, процесс вымогателя ликвидируется, и шифрование данных не производится.
В том случае, если «все в порядке», и малварь продолжила работу, Zenis удаляет все теневые копии, отключает восстановление системы при запуске и очищает логи. Кроме того, по окончании шифрования файлов, вымогатель пытается обнаружить файлы резервных копий, если таковые имеются. Такие файлы Zenis перезаписывает трижды, после чего окончательно их удаляет. В частности вредоноса интересуют файлы .win, .wbb, .w01, .v2i, .trn, .tibkp, .sqb, .rbk, .qic, .old, .obk, .ful, .bup, .bkup, .bkp, .bkf, .bff, .bak, .bak2, .bak3, .edb, .stm. Тем самым малварь не дает пострадавшему пользователю шанса восстановить данные из бэкапов.