Xakep #305. Многошаговые SQL-инъекции
Эксперты компании Cyren обнаружили шифровальщика Syrk, построенного на базе опенсорсной малвари Hidden-Cry, чьи исходные коды были опубликованы в открытом доступе еще в конце прошлого года.
Вымогатель нацелен на читеров в Fortnite, так как маскируется под утилиту для взлома игры и обещает дать игрокам преимущество в точном прицеливании, зная точное местоположение других игроков.
На самом деле вместо желаемого аимбота игроки скачивают малварь, которая сразу после запуска начинает шифровать файлы на их компьютерах, добавляя к ним расширение .Syrk. Также вредонос пытается отключить на зараженной машине Windows Defender и User Account Control (UAC), добиться постоянного присутствия в системе и внимательно следит процессами, которые могут привести к завершению его работы (диспетчер задач, Procmon64 и ProcessHacker). Кроме того, вымогатель пытается заразить USB-накопители, подключенные к системе, для дальнейшего распространения.
Закончив шифрование, вымогатель пытается вынудить своих жертв заплатить выкуп как можно быстрее, удаляя файлы каждые два часа. Однако исследователи Cyren полагают, что восстановить удаленные файлы и расшифровать прочие данные возможно и не платя злоумышленникам.
Так, исследователи обнаружили сразу два возможных метода дешифрования данных, поскольку необходимые для этого файлы присутствуют на самих зараженных компьютерах. Одним из них является dh35s3h8d69s3b1k.exe , инструмент дешифрования Hidden-Cry, встроенный в исходную малварь. Извлечение и выполнение этого файла приведет к созданию PowerShell-скрипта, необходимого для расшифровки информации.
Кроме того, вымогатель сохраняет в системе файлы, содержащие ID и пароль, необходимые для расшифровки файлов. Это файлы -i + .txt, -pw + .txt и + dp-.txt, сохраняющиеся в C:\Users\Default\AppData\Local\Microsoft.