Специалисты MalwareHunterTeam и Bleeping Computer предупредили о появлении нового локера и вайпера, который получил название StalinLocker, так как демонстрирует пользователю портрет Сталина и проигрывает гимн СССР.

Исследователи рассказывают, что StalinLocker дает пользователю всего 10 минут на ввод кода, а после, если код не был введен, начинает стирать содержимое всех томов, которые обнаружит в системе.

Как осуществляется распространение малвари, специалисты не сообщают. Известно, что после заражения StalinLocker копирует себя в %UserProfile%\AppData\Local\stalin.exe и прописывается в автозапуск как Stalin, после чего приступает к работе, блокирует экран и стирает все логи с зараженной машины. Также вредонос создает файл %UserProfile%\AppData\Local\fl.dat, в который записывает текущее количество оставшихся секунд, поделенное на три. Таким образом, каждый раз когда пользователь запускает программу, время на таймере значительно уменьшается. Помимо этого, локер пытается ликвидировать все процессы, кроме Skype и Discord, завершает работу Explorer.exe и taskmgr.exe, а также пытается создать запланированную задачу Driver Update для запуска Stalin.exe, однако данная функциональность, по словам исследователей, пока изобилует багами.

StalinLocker дает своим жертвам 10 минут на ввод правильного кода. По данным MalwareHunterTeam, код – это разница между текущей датой выполнения программы и 1922.12.30 (вероятно, автор вредоноса имел в виду дату утверждения договора об образовании СССР). Если код введен верно, локер удалит себя из автозапуска и завершит работу.

Если же не ввести код, отсчет дойдет до нуля, а после этого StalinLocker предпримет попытку удаления все файлов из системы жертвы, последовательно перебирая буквы томов от A до Z.

Специалисты отмечают, что пока StalinLocker определенно находится в разработке и еще не завешен до конца, но, к сожалению, малварь доведена на функционального состояния и уже представляет угрозу для пользователей.

5 комментариев

  1. AgentJordan

    16.05.2018 at 21:16

    10 минут — более чем достаточно чтобы нажать кнопку выключения.

  2. clearcitizenone

    16.05.2018 at 22:48

    Да и код больше похож на универскую лабораторку.

  3. Matveykin

    18.05.2018 at 14:34

    Так в итоге — какого рода код требуется ввести? И где его брать?

    • Nikit_OS

      19.05.2018 at 12:17

      «код – это разница между текущей датой выполнения программы и 1922.12.30»
      Например, если сегодня 2018.05.19, то разница будет составлять
      «34838 Дней(я),
      22 Часов(а), 50 Минут(ы) 0 Секунд(ы)
      Разница в секундах: 3010085400
      Разница в минутах: 50168090
      Разница в часах: 836135
      Разница в днях: 34839
      Разница в месяцах: 1145
      Разница в годах: 95»
      Пользуясь разностью дат выбрать одно из предложенных

Оставить мнение