SafeUM
Home Блог Услуги Скачать Помощь О нас Пополнить
EN
RU

Axarhöfði 14, 110 Reykjavik, Iceland

Iceland - 2015
SafeUM
Блог
Услуги
Скачать
Помощь
О нас
Пополнить
Меню
RU
Язык
EN
RU
Архив
TOP Security!
17 Фев 2016

Шифровальщик PadCrypt предлагает жертвам чат с хакерами и бесполезный деинсталлятор

Создатели некоторых вымогателей-шифровальщиков, в частности, Cryptowall, предлагают услугу  «поддержки клиентов».

Авторы нового криптоблокера, распространяемого под именем PadCrypt, пошли еще дальше и снабдили свое детище чат-функцией, чтобы жертвы могли в реальном времени уточнить у вымогателей условия выкупа и получить иную дополнительную информации.

PadCrypt обнаружил исследователь из швейцарского онлайн-проекта abuse.ch; насколько известно, это первый зловред-шифровальщик, который обеспечивает жертвам интерактивную связь с операторами. В настоящее время выявленные C&C-серверы новичка – annaflowersweb[.]com, subzone3[.]2fh[.]co, cloudnet[.]online – отключены, и зловред не является серьезной угрозой.

Живой чат, требующий доступа к C&C, – не единственное отличительное свойство PadCrypt, вымогатель также загружается вместе с деинсталлятором. Однако удаление зловреда в данном случае не помогает расшифровать файлы, взятые им в заложники.

«Такая функция [живой чат] способна повысить объем выручки, так как жертва может получить ‘поддержку’ и инструкции для прохождения мудреной процедуры оплаты, – отметил Лоуренс Абрамс (Lawrence Abrams) из Bleeping Computer, также изучающей нового вымогателя. – Мы недавно столкнулись с криптоблокером, который позволяет включать и выключать для него автозапуск, но деинсталлятор в таком пакете видим впервые. В ходе исполнения эта утилита удаляет все сообщения с требованием выкупа и файлы, ассоциируемые с процессом заражения. К сожалению, все зашифрованные файлы остаются при этом неизменными».

Распространяется PadCrypt через спам-письма, содержащие ссылку на zip-архив; в нем содержится вредоносный файл, выдающий себя за документ PDF, – DPD_11394029384.pdf.scr. Расширение .scr в данном случае помогает обнаружить подлог. Если этот файл исполнить, в систему установится зловред вместе с деинсталлятором и возможностью живой связи с его хозяевами.

PadCrypt сканирует локальные диски, оперируя заданным списком расширений. Найденные файлы шифруются по AES, к их имени добавляется расширение .enc. Имена зашифрованных файлов данный блокер, по свидетельству Bleeping Computer, сохраняет в текстовом файле. Чтобы жертва не смогла восстановить потери, зловред удаляет теневые копии. По окончании шифрования он создает текстовый файл README с руководством по уплате выкупа.

«Выводимое на экран сообщение содержит инструкции по уплате 0,8 биткойна, или около $350, с помощью PaySafeCard либо карты Ukash, – уточняет Абрамс. – В этом сообщении также указано, что оплату нужно произвести в течение 96 часов, в противном случае нужный ключ будет уничтожен. Возможности бесплатной расшифровки на настоящий момент нет».

Программы-вымогатели продолжают досаждать бизнес-структурам. Так, в минувшую пятницу Пресвитерианский медицинский центр Голливуда пожаловался на поразившего его системы зловреда, который зашифровал файлы пациентов. Журналисты NBC в Лос-Анджелесе цитируют главу лечебного учреждения Южной Калифорнии, который отметил, что из-за недоступности критически важных ресурсов была нарушена повседневная работа больницы и некоторых пациентов пришлось перевести в другие стационары. По данным NBC, вымогатели требовали у медиков более 3 млн. долларов.

К сожалению, интернет-безопасность медицинских учреждений до сих пор не на высоте. Выступая на конференции Kaspersky Security Analyst Summit 2016, эксперт «Лаборатории Касперского» Сергей Ложкин рассказал, как он взломал сеть одной из московских больниц – с разрешения ее руководства, разумеется. Подобрав без особого труда пароль местной точки Wi-Fi, исследователь смог получить доступ к локальной сети клиники, а затем – к незащищенным панелям управления подключенных к интернету устройств, используемых для лечения и диагностики.

Теги:
PadCrypt утечка информации
Источник:
Threatpost
1491
ДРУГИЕ НОВОСТИ
3 Июль 2020 safeum news imgage Полиция произвела множество арестов, взломав защищённый мессенджер
4 Май 2020 safeum news imgage Европол сообщил об аресте членов польской хак-группы Infinity Black
12 Дек 2019 safeum news imgage Шифрование под угрозой. Как это отразится на нас
4 Ноя 2019 safeum news imgage Должны ли важные решения приниматься на основании лишь фактов, или интуиция имеет право на жизнь?
7 Июнь 2018 safeum news imgage Ворующий данные вирус для роутеров умеет обходить шифрование
4 Июнь 2018 safeum news imgage Мошенники атакуют пользователей сервиса Booking.com
1 Июнь 2018 safeum news imgage Оператор крупнейшей точки обмена трафиком подал в суд на немецкую спецслужбу
30 Май 2018 safeum news imgage ФБР выявило два инструмента северокорейских кибершпионов
29 Май 2018 safeum news imgage Новый закон позволил европейцам требовать миллиарды у Google и Facebook
25 Май 2018 safeum news imgage Предустановленное вредоносное ПО обнаружили на сотнях моделей смартфонов
24 Май 2018 safeum news imgage GPS-трекеры для домашних животных позволяют следить за их хозяевами
23 Май 2018 safeum news imgage К Google подали иск из-за слежки за пользователями iPhone
21 Май 2018 safeum news imgage Данные о местоположении всех смартфонов в США оказались в открытом доступе
18 Май 2018 safeum news imgage Власти США запустили фальшивое ICO
17 Май 2018 safeum news imgage Хакеры похитили сотни миллионов у банков Мексики
Все новости
SafeUM
Конфиденциальность Правила использования Наши технологии О компании
Контакты
Скачать
SafeUM © Безопасный универсальный мессенджер

Axarhöfði 14,
110 Reykjavik, Iceland

Iceland - 2015