За последние месяцы исследователи описали целый ряд сложных и неоднозначных вымогателей. Некоторые из них прятали секретные послания исследователям в строках кода, а один из зловредов полностью состоял из JavaScript.
Но не все вирусописатели по совместительству хорошие кодеры. ИБ-аналитики обнаружили новый штамм вымогателя, чьи создатели, очевидно, просто невероятно ленивы.
Как установили исследователи из Cisco Talos, вымогатель под названием Ranscam просто удаляет файлы пользователя, даже если выкуп уплачен, причем файлы даже не зашифровываются. Как предполагает само название зловреда, Ranscam создан исключительно для мошенничества. Исследователи Эдмунд Брумагин (Edmund Brumaghin) и Уоррен Мерсер (Warren Mercer), описавшие новый зловред, утверждают, что после заражения компьютера Ranscam взаимодействует с жертвой точно так же, как и другие его собратья: ей предлагается заплатить выкуп в размере 0,2 биткойна ($130), чтобы вернуть файлы, которые, как утверждают злоумышленники, были перемещены в скрытый раздел диска и зашифрованы. «Как только вы уплатите выкуп в биткойнах, ваши файлы и компьютер вернутся в нормальное состояние», — говорится в тексте требования выкупа.
Однако стоит жертве нажать кнопку подтверждения платежа, ей отображается надпись «Платеж не верифицирован». Вымогатель угрожает удалять по файлу каждый раз, когда пользователь нажимает на кнопку, не заплатив. На самом деле эта кнопка — обман. Зловред отправляет по HTTP два GET-запроса, получая PNG-картинку, но к этому моменту файлы жертвы уже удалены без возможности восстановления. Оказывается, они вообще не были зашифрованы и «расшифровать» их, соответственно, не получится.
По данным исследователей, принцип работы этого «шифровальщика» следующий: исполняемый .NET-файл вызывает командный файл, который множится и расходится по системе пользователя. Затем скрипт удаляет ряд критически важных файлов, в том числе Windows .EXE, отвечающий за восстановление системы, теневые тома, а также ключи реестра, необходимые для перезапуска системы в безопасном режиме.
Брумагин и Мерсер сумели немного пообщаться с создателем зловреда, чтобы обсудить возможность уплаты выкупа. Переписка была довольно вежливой и продемонстрировала, что злоумышленники готовы пойти на многое, чтобы получить выкуп:
Как пояснили исследователи, в биткойн-кошельке, предназначенном для приема выкупа, не зарегистрировано ни одной транзакции с 29 июня. Сведений о массовых спам-рассылках, содержащих загрузчик зловреда, также не поступало. Все говорит о том, что создатели вымогателя — новички, а степень распространения Ranscam невелика.
«Ranscam — это скорее демонстрация острого желания злоумышленников выйти на рынок программ-вымогателей, — написали исследователи. — Им даже не надо изобретать новые концепции атак или разрабатывать полнофункциональные программы-вымогатели; Ranscam — плод работы новичка, а не часть масштабной кампании».
Удаление файлов — все более расхожая тактика в среде ransomware-разработчиков. На прошлой неделе эксперты придумали хитрую технику обхода требования выкупа для зловреда Jigsaw. Этот вымогатель угрожает удалить один файл в течение первого часа после получения сообщения с требованием выкупа, два файла — по истечении двух часов и так далее. Жертвы, пытающиеся перезагрузить систему, теряют сразу тысячу файлов.
