Корни вымогателя LockCrypt — в Satan - Новости и Обзоры
интернет-защита
все антивирусы в одном приложении

Корни вымогателя LockCrypt — в Satan

Как сообщает редакция блога Bleeping Computer, в последнее время участились просьбы участников форума помочь разобраться с атаками нового шифровальщика LockCrypt.

Злоумышленники взламывают плохо защищенные RDP-сервера и, передвигаясь по скомпрометированной сети, вручную заражают максимальное количество компьютеров, требуя выкуп в размере 0,5-1 биткойна (от 3500 до 7000 долларов США на момент публикации) за каждый. В отличие от многих «коллег по цеху», предпочитающих вредоносный спам и эксплойт-паки, распространители LockCrypt сделали ставку на брутфорс-атаки. Таким же образом, например, внедрялся вымогатель Bucbi.

Вымогатели действуют по уже отлаженной схеме: сообщив требования выкупа, они предлагают связаться с «операторами» по обозначенным email-адресам и прислать на пробную расшифровку три файла общим объемом менее 10 Мбайт, «не содержащих ценной информации». Размер выкупа зависит от того, насколько быстро жертва свяжется со злоумышленниками.

Ссылаясь на исследование AlienVault, репортер Bleeping Computer пишет, что в настоящее время зловред атакует пользователей из таких стран, как США, Великобритания, ЮАР, Индия и Филиппины. Проведенный экспертами анализ показал, что в первых версиях LockCrypt фигурировал email-адрес, ассоциированный с аналогичным зловредом Satan, распространявшимся с января по RaaS-модели (вымогатель как сервис). Вполне вероятно, что злоумышленники, получив прибыль с атак Satan, смогли собрать деньги на разработку кастомизированной версии шифровальщика, которая впоследствии легла в основу LockCrypt.

Новый вымогатель способен стать довольно серьезной угрозой: по свидетельству исследователей, его шифрование весьма сильное — без выкупа расшифровать файлы, надеясь на ошибки разработчиков, скорее всего, не получится. Кроме того, LockCrypt способен пережить перезагрузку, удаляет теневые копии Windows, чтобы не допустить отката системы, а также принудительно завершает исполнение антивируса и другие процессы, способные предотвратить шифрование файлов.

Любопытно, что, по сведениям исследователей и многих жертв, атаки через удаленный рабочий стол инициируются с одного и того же IP-адреса 212.111.192.203, которым владеет Министерство образования и науки Украины. На настоящий момент три Bitcoin-кошелька злоумышленников собрали порядка 175 тыс. долларов в криптовалюте.

Сообщество Вконткте
обзоры антивирусов и программ безопасности
Комментарии и отзывы
Добавляя комментарий, ознакомьтесь с Правилами сообщества
Система Orphus