Malwarebytes совместно с независимым исследователем @TheWack0lian выпустила дешифратор для нового вымогателя, замеченного исследователем Якубом Крустеком (Jacub Kroustek) из AVG.
Шифровальщик получил название VindowsLocker из-за расширения, которое он добавляет к имени зашифрованного файла, — «.vindows». Его отличительная особенность — заимствование некоторых техник из мошеннических схем на основе лжетехподдержки.
Но тогда как обычно лжетехподдержка использует фальшивые экраны блокеров, чтобы побудить жертву позвонить и затем заплатить за предоставленные «услуги» по исправлению ситуации, VindowsLocker действует наоборот. В атаке используется реальная страница техподдержки Windows, которая дает жертвам ощущение безопасности. По данным Malwarebytes, мошенники, притворяющиеся операторами техподдержки, действуют в Индии.
VindowsLocker инструктирует жертв позвонить по «номеру техподдержки» в call-центр, хотя обычно вымогатели используют для коммуникации с пользователями сайт в Дарквебе. Злоумышленники требуют $349,99 за разблокирование компьютера, но после того, как они получают деньги, файлы все равно невозможно расшифровать: авторы вымогателя допустили ряд ошибок при написании кода и потеряли доступ к индивидуальным ключам шифрования.
VindowsLocker написан на C# и использует алгоритм шифрования AES. Шифрованию подвергаются файлы с популярными расширениями .txt, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .jpg, .png, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .xml, .psd. Зашифровав файлы, зловред сообщает об этом пользователю:
В записке указан американский телефонный номер, по которому нужно позвонить «специалисту высочайшего уровня», который исправит ситуацию за $349,99. VindowsLocker также отличается от собратьев тем, что не использует C&C-сервер для хранения ключей, а вместо этого полагается на API Pastebin.
Два жестко прописанных в код ключа api_dev_key и api_user_key, чтобы сохранить название зашифрованного компьютера и случайный AES-ключ на странице Pastebin, с которой позже автор зловреда собирался получать ключи и отправлять их жертве после уплаты выкупа, — этот метод позволял избежать содержания собственного сервера.
Но из-за ошибки в использовании одного из API-ключей авторы VindowsLocker не могут получить доступ к AES-ключам, а жертвы, соответственно, не могут расшифровать свои файлы, даже заплатив выкуп. Но это не остановило злоумышленников, и они продолжили вымогать деньги у пользователей.
Если жертва звонит на «номер техподдержки», оператор получает доступ к компьютеру через инструмент удаленного администрирования. Злоумышленник открывает официальную страницу техподдержки Microsoft и быстро вставляет короткую ссылку во встроенный поисковик. Большинство пользователей не успевают заметить этого.
На радость пользователям, пострадавшим от VindowsLocker, уже доступны целых два дешифратора, восстанавливающих файлы без надобности платить выкуп. Лжетехподдержка — большая проблема для пользователей, особенно для тех из них, кто не обладает достаточной технической осведомленностью.
В 2014–2015 годах в США на обман со стороны людей, прикрывающихся вывеской «Техподдержка Microsoft», пожаловались более 170 тыс. человек. Кроме того, по оценкам Американской ассоциации пенсионеров, в 2015 году порядка 3,3 млн американцев заплатили злоумышленникам, маскирующимся под сотрудников техподдержки, более $1,5 млрд.
