Вымогатели нацелились на русскоязычных игроков многопользовательского шутера Enlisted. Через фальшивые сайты распространяются троянзированные версии игры, где в комплекте с игровым установщиком идет программа-вымогатель, выдающая себя за третью версию нашумевшей малвари WannaCry (вредонос даже меняет расширения пострадавших файлов на.wncry).
Enlisted была выпущена Gaijin Entertainment в 2021 году, и ежемесячно в нее играют от 500 000 до миллиона активных игроков. Так как игра бесплатна, злоумышленники смогли легко загрузить установщик с сайта издателя и изменить его, чтобы распространять малварь среди игроков.
По словам аналитиков из компании Cyble, которые проанализировали угрозу, этот якобы новый вариант WannaCry на самом деле основан на опенсорсном на Python-локере Crypter, созданном для образовательных целей.
Установщик игры, загруженный с фальшивого сайта, называется «enlisted_beta-v1.0.3.115.exe», и при запуске он сбрасывает на диск пользователя два исполняемых файла: ENLIST~1 (фактическая игра) и enlisted (Python-лаунчер вредоноса).
При инициализации вымогатель создает мьютекс, чтобы избежать нескольких запущенных экземпляров на зараженной машине. Затем он анализирует свой файл конфигурации JSON определяя, какие типы файлов являются целевыми, какие каталоги следует пропускать, какую записку о выкупе сгенерировать и какой адрес кошелька указать для получения выкупа.
В итоге вымогатель сканирует рабочий каталог в поисках файла key.txt для использования на этапе шифрования (если его нет, создает его). Для шифрования используется алгоритм AES-256, и как уже было сказано выше, все заблокированные файлы получают расширение .wncry.
Интересно, что малварь не пытается завершать процессы или службы, что является стандартной практикой в современных локерах, но идет привычным для вымогателей путем и удаляет теневые копии, чтобы предотвратить восстановление данных.
Заверив процесс шифрования файлов, вымогатель показывает жертве записку с требованием выкупа, используя для этого специальное приложение с графическим интерфейсом и давая жертве три дня для принятия решения. На случай если антивирус жертвы заблокирует отображение записки с требованием выкупа, шифровальщик также изменяет фоновое изображение на рабочем слоте пользователя.
Исследователи отмечают, что хакеры не используют сайт Tor, вместо этого предлагая жертвам использовать для связи с ними бота в Telegram.
По мнению экспертов, сейчас российским пользователям могут быть недоступны многие популярные онлайн-шутеры, поэтому Enlisted стал для них хорошей альтернативой. Если злоумышленники уже обратили на это внимание, вероятно, они могут создать и другие фейковые сайты для подобных игр с русской локализацией.