Специалисты Bleeping Computer рассказали об обнаружении весьма странного шифровальщика, с не менее странным названием: Barack Obama’s Everlasting Blue Blackmail Virus («Вымогательский вирус вечной грусти Барака Обамы»).

Первым малварь обнаружил специалист MalwareHunterTeam. О механизме распространения угрозы пока ничего неизвестно, но выяснилось, что шифровальщик ведет себя весьма нетипично для угроз такого рода. Так, после начала работы, вымогатель ликвидирует ряд процессов, связанных с антивирусными решениями «Лаборатории Касперского», McAfee и Rising Antivirus:

  • taskkill /f /im kavsvc.exe
  • taskkill /f /im KVXP.kxp
  • taskkill /f /im Rav.exe
  • taskkill /f /im Ravmon.exe
  • taskkill /f /im Mcshield.exe
  • taskkill /f /im VsTskMgr.exe

Затем вредонос ищет на зараженной машине файлы .exe и шифрует их. Как правило, вымогатели обходят стороной системные директории, в частности Windows, но Barack Obama’s Everlasting Blue Blackmail Virus этого не делает. В итоге деятельность малвари может спровоцировать проблемы в работе ОС.  Хуже того, вымогатель модифицирует ключи реестра, ассоциирующиеся с файлами .exe, таким образом, чтобы изменить иконки и запускаться при каждом запуске любого файла .exe.

Какую сумму злоумышленники просят за расшифровку данных пока неизвестно, так как для получения подробных инструкций предлагается связаться с преступниками через почтовый ящик 2200287831@qq.com.

Оставить мнение