В Сети появился вымогатель под названием DXXD, который добавляет ключи в реестр Windows и меняет экран входа на сообщение с требованием выкупа за восстановление зашифрованных файлов.
Данное уведомление закрывается простым нажатием на кнопку «ОК», после чего пользователи могут авторизоваться в системе. Первая версия вредоноса была обнаружена в конце сентября нынешнего года.
Оказавшись в системе, программа шифрует файлы на компьютере, добавляя к ним расширение .dxxd. В начале октября исследователь Майкл Гиллеспи (Michael Gillespie) взломал алгоритм шифрования, используемый DXXD, и выпустил инструмент для восстановления зашифрованного вымогателем контента. Вслед за релизом утилиты автор DXXD создал вторую версию ПО - DXXD 2.0 с исправленным алгоритмом шифрования.
Вирусописатель также попытался сбить исследователей с толку утверждая, что инфицирование компьютеров жертв осуществляется при помощи RCE-эксплоита для уязвимости нулевого дня, присутствующей во всех версиях Windows, выпущенных в период с 1995 по 2016 годы. Однако по мнению основателя ресурса Bleeping Computer Лоуренса Абрамса (Lawrence Abrams), данное заявление не соответствует действительности, поскольку стоимость подобного эксплоита на черном рынке наверняка оценивалась бы в миллионы долларов, а сам инструмент мог бы использоваться для более серьезных атак, нежели для заражения низкопробным вымогательским ПО.
«Согласно полученной мной информации, я думаю, что разработчик вымогателя взламывает серверы, используя протокол удаленного рабочего стола (Remote Desktop Protocol) и подбирает пароли методом перебора», - отметил Абрамс, добавив, что жертвам DXXD стоит переустановить все пароли на инфицированном компьютере.
