SafeUM
Home Блог Услуги Скачать Помощь О нас Пополнить
EN
RU

Axarhöfði 14, 110 Reykjavik, Iceland

Iceland - 2015
SafeUM
Блог
Услуги
Скачать
Помощь
О нас
Пополнить
Меню
RU
Язык
EN
RU
Архив
TOP Security!
14 Июль 2016

Вымогатель Ranscam не шифрует файлы, а просто удаляет их

За последние месяцы исследователи описали целый ряд сложных и неоднозначных вымогателей. Некоторые из них прятали секретные послания исследователям в строках кода, а один из зловредов полностью состоял из JavaScript.

Но не все вирусописатели по совместительству хорошие кодеры. ИБ-аналитики обнаружили новый штамм вымогателя, чьи создатели, очевидно, просто невероятно ленивы.

Как установили исследователи из Cisco Talos, вымогатель под названием Ranscam просто удаляет файлы пользователя, даже если выкуп уплачен, причем файлы даже не зашифровываются. Как предполагает само название зловреда, Ranscam создан исключительно для мошенничества. Исследователи Эдмунд Брумагин (Edmund Brumaghin) и Уоррен Мерсер (Warren Mercer), описавшие новый зловред, утверждают, что после заражения компьютера Ranscam взаимодействует с жертвой точно так же, как и другие его собратья: ей предлагается заплатить выкуп в размере 0,2 биткойна ($130), чтобы вернуть файлы, которые, как утверждают злоумышленники, были перемещены в скрытый раздел диска и зашифрованы. «Как только вы уплатите выкуп в биткойнах, ваши файлы и компьютер вернутся в нормальное состояние», — говорится в тексте требования выкупа.

Однако стоит жертве нажать кнопку подтверждения платежа, ей отображается надпись «Платеж не верифицирован». Вымогатель угрожает удалять по файлу каждый раз, когда пользователь нажимает на кнопку, не заплатив. На самом деле эта кнопка — обман. Зловред отправляет по HTTP два GET-запроса, получая PNG-картинку, но к этому моменту файлы жертвы уже удалены без возможности восстановления. Оказывается, они вообще не были зашифрованы и «расшифровать» их, соответственно, не получится.

По данным исследователей, принцип работы этого «шифровальщика» следующий: исполняемый .NET-файл вызывает командный файл, который множится и расходится по системе пользователя. Затем скрипт удаляет ряд критически важных файлов, в том числе Windows .EXE, отвечающий за восстановление системы, теневые тома, а также ключи реестра, необходимые для перезапуска системы в безопасном режиме.

Брумагин и Мерсер сумели немного пообщаться с создателем зловреда, чтобы обсудить возможность уплаты выкупа. Переписка была довольно вежливой и продемонстрировала, что злоумышленники готовы пойти на многое, чтобы получить выкуп:

Как пояснили исследователи, в биткойн-кошельке, предназначенном для приема выкупа, не зарегистрировано ни одной транзакции с 29 июня. Сведений о массовых спам-рассылках, содержащих загрузчик зловреда, также не поступало. Все говорит о том, что создатели вымогателя — новички, а степень распространения Ranscam невелика.

«Ranscam — это скорее демонстрация острого желания злоумышленников выйти на рынок программ-вымогателей, — написали исследователи. — Им даже не надо изобретать новые концепции атак или разрабатывать полнофункциональные программы-вымогатели; Ranscam — плод работы новичка, а не часть масштабной кампании».

Удаление файлов — все более расхожая тактика в среде ransomware-разработчиков. На прошлой неделе эксперты придумали хитрую технику обхода требования выкупа для зловреда Jigsaw. Этот вымогатель угрожает удалить один файл в течение первого часа после получения сообщения с требованием выкупа, два файла — по истечении двух часов и так далее. Жертвы, пытающиеся перезагрузить систему, теряют сразу тысячу файлов.

Теги:
мошенничество утечка информации Ranscam
Источник:
Threatpost
1193
ДРУГИЕ НОВОСТИ
3 Июль 2020 safeum news imgage Полиция произвела множество арестов, взломав защищённый мессенджер
4 Май 2020 safeum news imgage Европол сообщил об аресте членов польской хак-группы Infinity Black
12 Дек 2019 safeum news imgage Шифрование под угрозой. Как это отразится на нас
4 Ноя 2019 safeum news imgage Должны ли важные решения приниматься на основании лишь фактов, или интуиция имеет право на жизнь?
7 Июнь 2018 safeum news imgage Ворующий данные вирус для роутеров умеет обходить шифрование
4 Июнь 2018 safeum news imgage Мошенники атакуют пользователей сервиса Booking.com
1 Июнь 2018 safeum news imgage Оператор крупнейшей точки обмена трафиком подал в суд на немецкую спецслужбу
30 Май 2018 safeum news imgage ФБР выявило два инструмента северокорейских кибершпионов
29 Май 2018 safeum news imgage Новый закон позволил европейцам требовать миллиарды у Google и Facebook
25 Май 2018 safeum news imgage Предустановленное вредоносное ПО обнаружили на сотнях моделей смартфонов
24 Май 2018 safeum news imgage GPS-трекеры для домашних животных позволяют следить за их хозяевами
23 Май 2018 safeum news imgage К Google подали иск из-за слежки за пользователями iPhone
21 Май 2018 safeum news imgage Данные о местоположении всех смартфонов в США оказались в открытом доступе
18 Май 2018 safeum news imgage Власти США запустили фальшивое ICO
17 Май 2018 safeum news imgage Хакеры похитили сотни миллионов у банков Мексики
Все новости
SafeUM
Конфиденциальность Правила использования Наши технологии О компании
Контакты
Скачать
SafeUM © Безопасный универсальный мессенджер

Axarhöfði 14,
110 Reykjavik, Iceland

Iceland - 2015