Вредонос Ordinypt намеренно уничтожает файлы - Новости и Обзоры
интернет-защита
все антивирусы в одном приложении

Вредонос Ordinypt намеренно уничтожает файлы

Новый вредонос под названием Ordinypt, появившийся в Германии на этой неделе, переписывает случайно выбранные файлы и требует выкуп за приведение их в изначальный вид.

Однако, как сообщает Bleeping Computer, это не вирус-вымогатель, а вайпер, замаскированный под шифровальщик, и его главная цель — нанести урон компьютерам.

Первым о новой зловредной Windows-программе сообщил Майкл Гиллеспи (Michael Gillespie), когда загрузил на сайт ID Ransomware файл с текстом сообщения вымогателя. Новый вирус он обозначил как HSDFSDCrypt. В понедельник, 6 ноября, исследователь проблем безопасности из немецкой компании G Data Карстен Хан (Karsten Hahn) обнаружил, что вредонос распространяется по электронной почте и нацелен только на пользователей Германии: и письмо, и требование выкупа написано на немецком языке без всяких ошибок.

Электронное сообщение маскируется под резюме, присланное в ответ на объявление о приеме на работу. К нему прикреплены JPG-фото женщины, якобы откликнувшейся на вакансию, и zip-архив с данными о кандидате. В последнем содержатся exe-файлы, которые из-за двойных расширений пользователь воспринимает как документы PDF. Открыв любой из них, жертва, сама того не подозревая, запустит загрузку и исполнение зловредной программы.

В G Data для удобства обозначения сменили название вредоноса на Ordinypt. По словам специалиста по декомпиляции Филиппа Маккенсена (Philipp Mackensen), по сути это не вымогатель-шифровальщик, а вайпер. Программа не шифрует файлы, а заменяет их случайно сгенерированными символами, состоящими из прописных и строчных букв и цифр. Исходник после этого просто удаляется.

Деструктивная направленность Ordinypt явно заметна и в том, что новые файлы часто оказываются вдвое меньшего размера, чем оригиналы. К тому же в требовании выкупа не содержится идентификатор заражения. Обычно кроме него в инструкции также указан адрес биткоин-кошелька, URL в даркнете или же электронная почта, по которой жертва может связаться с вымогателем и подтвердить оплату. Но Ordinypt не сообщает идентификатор зараженного компьютера, а биткоин-кошелек выбирает при помощи Java-скрипта из списка сотни жестко закодированных адресов. Подтвердить платеж у жертвы данного вредоноса тоже нет никакой возможности.

Всё указывает на то, что кто-то создал Ordinypt именно с намерением причинить урон компьютерам. Ориентация на отделы кадров при помощи писем с резюме говорит о том, что это целенаправленная кампания по нанесению ущерба деятельности некоторых немецких фирм.

Ordinypt не первый вайпер, маскирующийся под шифровальщик. Вспышку эпидемии ExPetr (или NotPetya), когда вредонос уничтожал загрузочную запись жесткого диска, эксперты «Лаборатории Касперского» и компании Comae Technologies признали актом саботажа.

Сообщество Вконткте
обзоры антивирусов и программ безопасности
Комментарии и отзывы
Добавляя комментарий, ознакомьтесь с Правилами сообщества
Система Orphus