Необычного шифровальщика WannaFriendMe обнаружили ИБ-исследователи. Вредонос не требует выкуп в криптовалюте, но продает дешифровщик на игровой платформе Roblox с использованием внутриигровой валюты Robux.

Первым малварь WannaFriendMe заметил известный ИБ-исследователь MalwareHunterTeam. Он пишет, что вымогатель выдает себя за печально известного шифровальщика Ryuk, меняя расширения зашифрованных файлов на .ryuk, но на самом деле эта малварь представляет собой вариацию вымогателя Chaos.

Дело в том, что еще в июне 2021 года автор Chaos начал продавать билдер своего вымогателя, который позволяет другим преступникам создавать собственные вредоносы, кастомизируя записки с требованием выкупа, расширения файлов и так далее. И по умолчанию Chaos Builder притворяется именно Ryuk, используя расширение .ryuk для зашифрованных файлов.

Однако от других аналогичных угроз WannaFriendMe отличает не это. Главной особенностью этого вредоноса является тот факт, что вместо криптовалюты малварь требует, чтобы жертва приобрела дешифровщик для своих данных в магазине Roblox Game Pass.

Дело в том, что пользователи Roblox могут создавать собственные игры и монетизировать их, продавая Game Pass’ы, предоставляющие специальный доступ, расширенные функции или внутриигровые предметы. Чтобы оплатить такой Game Pass, нужно приобрести его с помощью внутриигровой валюты Robux.

В магазине Roblox Game Pass действительно можно было найти некий Ryuk Decrypter, который продавал пользователь по имени iRazormind за 1499 Robux. Последнее обновление было датировано 5 июня.

Издание Bleeping Computer отмечает, что разные версии малвари Chaos объединяет одно и та же проблема:  они не только шифруют данные, но зачастую попросту их уничтожают. Так, любой файл размером более 2 Мб оказывается перезаписан случайными данными, а не зашифрован. Это означает, что даже после приобретения инструмента для расшифровки удастся восстановить только файлы размером менее 2 Мб.

Хотя пока неясно, как распространяется WannaFriendMe, и использовался ли этот шифровальщик в реальных атаках, это не первый случай, когда вариации Chaos нацелены на геймеров. К примеру, осенью 2021 года шифровальщик Chaos атаковал Windows-устройства и распространялся под видом alt list для Minecraft на игровых форумах.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии