Обнаружен новый наследник вымогательского ПО TeslaCrypt

10.06.2016

Вредонос использует сильные алгоритмы шифрования, что значительно усложняет восстановление документов.

Исследователи компании ESET сообщили о появлении нового вымогательского ПО, пришедшего на смену известному шифровальщику TeslaCrypt. По словам специалистов, семейство вымогателей Crisis способно шифровать файлы на жестких, съемных и сетевых дисках. Вредонос использует особые техники и сильные алгоритмы шифрования, что значительно усложняет восстановление документов.

Злоумышленники используют несколько подходов для распространения Crisis. В большинстве случаев вредоносное ПО кроется в приложениях к спам-письмам, содержащих файлы с двойным расширением. Также Crisis может распространяться под видом безобидных установщиков для различных легитимных приложений.

Инфицировав компьютер, вредонос создает запись в реестре и приступает к шифрованию всех файлов на устройстве, за исключением системных, добавляя расширение на .ID%variable%.%email_address%.xtbl. Далее Crisis отправляет список, содержащий имя компьютера и количество зашифрованных файлов (а также их форматы), на C&C-сервер злоумышленников.

Затем вымогатель помещает в системную папку Desktop текстовый файл, сопровождающийся изображением с требованием выкупа. За восстановление зашифрованных документов злоумышленники требуют от €400 до €900. Выплата осуществляется в биткойнах. 

Источник: securitylab.ru