ИБ-исследователи предупредили о неприятной особенности шифровальщика Onyx: вредонос уничтожает файлы размером более 2 Мб вместо шифрования. То есть расшифровать эти данные не получится, даже если жертва заплатила выкуп.
Вымогательскую кампанию Onyx на прошлой неделе обнаружил эксперт MalwareHunterTeam, который рассказывает, что на счету новой хак-группы уже шесть жертв (именно столько перечислено на «сайте для утечек»). Как и большинство других хакеров-вымогателей, операторы Onyx воруют данные из сетей жертв перед шифрованием файлов, а затем используют их для так называемого «двойного вымогательства», то есть угрожают обнародовать или продать информацию, если пострадавшая компания не заплатит.
Издание Bleeping Computer пишет, что до недавнего времени о технических возможностях этой малвари не было известно ничего, но на днях MalwareHunterTeam обнаружил и изучил образец шифровальщика. В ходе анализа выяснилось, что вымогатель перезаписывает многие файлы случайными «мусорными» данными, а вовсе не шифрует их.
Как видно из приведенного ниже примера, Onyx вполне эффективно шифрует лишь файлы размером менее 2 Мб, но перезаписывает любые файлы превышающие этот размер. Фактически это означает, что малварь повреждает информацию безвозвратно.
По словам киберкриминалиста Иржи Винопала (Jiří Vinopal) из чешского CERT, этот шифровальщик основан на коде другого вредоноса, Chaos, который тоже демонстрировал аналогичное деструктивное поведение во время шифрования. Поскольку разрушительный характер малвари — это не баг, а умышленное причинение вреда, эксперты настоятельно не рекомендуют пострадавшим платить выкуп.
UPD
Похожее предупреждение для своих пользователей также обнародовала компания Synology. Synology определила, что уязвимости в Netatalk затрагивают ее продукты DiskStation Manager (DSM) и Synology Router Manager (SRM). Патчи уже доступны для DSM 7.1, и идет работа над исправлениями для других затронутых продуктов и версий.