Недавно был замечен новый вид вымогателя, который распространяется в двух разных вариациях. Одна из этих вариаций, как утверждают эксперты, снимает и отсылает скриншоты с компьютера жертвы злоумышленникам.
DetoxCrypto, новый вид вредоносной программы, как представляется, мог быть продан через Dark Web. На данный момент существуют различные варианты этого вымогателя, использующие разные темы, электронные почты и имеющие различные функции. Один из наблюдаемых вариантов действует как стандартный вымогатель (за исключением функции отсылки скриншотов), а другие маскируются под приложение PokemonGo.
Все варианты этого вымогателя используют шифрование AES и могут останавливать функции MySQL и MSSQL на зараженных машинах, Bleeping Computer. Кроме того, во время отображения экрана блокировки и требований выкупа, зловред проигрывает аудиофайл. Вымогатель также инструктирует пользователей связаться со злоумышленниками, написав им на адрес электронной почты, указанный на экране блокировки, чтобы восстановить доступ к своим файлам.
Исследователям пока не удалось определить, как именно распространяется этот зловред, но они утверждают, что все варианты имеют вид единственного исполняемого файла. Этот файл содержит другие исполняемые файлы и компоненты, встроенные в него. При запуске основной исполняемый извлекает файл MicrosoftHost.exe, звуковой файл, фоновые обои и исполняемый файл с разным именем для каждого варианта.
MicrosoftHost.exe используется для шифрования и для остановки серверных процессов на компьютере жертвы. Вредоносная программа не добавляет расширение к зашифрованным файлам, но меняет фон рабочего стола.
Второй исполняемый файл может отображать экран блокировки, проигрывать звуковой файл и может расшифровать файлы, если введен правильный пароль. Этот файл разный для каждого вида и исследователи на данный момент встречали два имени этого файла: Calipso.exe и Pokemon.exe.
Calipso извлекает многочисленные файлы в каталог C:\Users\[account_name]\Calipso, после чего начинает шифровать файлы пользователя. После того как процесс шифрования завершен, вредоносная программа отображает экран блокировки, на котором пользователю рекомендуется связаться со злоумышленником через почту motox2016(at)mail2tor.com, чтобы получить инструкции по оплате.
Особенность данного шифровальщика заключается в том, что он снимает скриншот активного экрана и отправляет его злоумышленнику. Исследователи считают, что если скриншот будет содержать компрометирующую информацию, злоумышленники увеличат сумму оплаты.
Файл, распространяемый в виде Pokemongo.exe извлекает файлы в C:\Users\[account_name]\Downloads\Pokemon. Затем вредоносная программа шифрует файлы жертвы, отображая экран блокировки под названием "Мы все покемоны" (We are all Pokemons).
Последнее время пользователи I2P массово жалуются на сбои: при повышении нагрузки роутеры виснут, временами анонимная сеть вообще выпадает из доступа. Как оказалось, причиной тому внезапное нашествие 700 тыс. ботов Kimwolf.
Попытки многочисленных зараженных устройств присоединиться к I2P-сети, в которой, как выяснил KrebsOnSecurity, ежедневно активны лишь 15-20 тыс. узлов, стали забивать каналы, как при DDoS-атаке.
Ботоводы Kimwolf сами не ожидали такого эффекта: ведь они просто хотели опробовать I2P в качестве резервного варианта C2-связи — на случай отказа основной командной инфраструктуры стараниями правоохраны и законопослушных провайдеров.
В итоге было решено отказаться от этой идеи и поэкспериментировать с Tor.
В настоящее время I2P-сеть все еще работает вполсилы. Обновления подготовлены и развертываются, на следующей неделе ситуация должна улучшиться.
Объявившийся в конце прошлого года IoT-ботнет Kimwolf быстро возрос: в январе в его состав уже входило более 2 млн зараженных устройств. Новобранец используется в основном для проксирования вредоносного трафика и проведения DDoS-атак.
В американской компании Synthient отслеживают новую угрозу и недавно заметили, что численность мощного ботнета сократилась на 600 тыс. устройств.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
