Обнаружен новый шифровальщик CrypMIC – конкурент CryptXXX

Обнаружен новый шифровальщик CrypMIC – конкурент CryptXXX

Обнаружен новый шифровальщик CrypMIC – конкурент CryptXXX

У шифровальщика CryptXXX появился конкурент-новичок, использующий для распространения те же методы - набор эксплоитов Neutrino.

Новый вид шифровальщика CrypMIC был замечен пару недель назад, с помощью Neutrino он и CryptXXX загружались на компьютеры пользователей. Но метод проникновения не единственное их сходство, отмечают эксперты компании Trend Micro. Они также обнаружили, что новый вид вымогателя подражает CryptXXX во всем, что касается записок с требованиями и сайта для оплаты.

Отмечают и другие сходства этих двух видов шифровальщиков, такие как: использование одного и того же имени для функции экспорта (MS1, MS2), оба шифровальщика используют собственный протокол для связи с командным центром через TCP-порт 443.

Тем не менее, исходный код и возможности этих двух шифровальщиков имеют отличия. CrypMIC не добавляет расширение к зашифрованным файлам и использует другой компилятор и метод обфускации. Кроме того, в отличие от CryptXXX, CrypMIC имеет подпрограмму, которая позволяет проверить наличие виртуальной машины на зараженной системе, а также предназначена для передачи этой информации в его командный центр.

Также новый вид шифровальщика использует AES-256-шифрование, шифрует 901 тип файлов и не имеет механизма автозапуска. Вредонос может запустить процедуру шифрования даже в виртуальной среде, отправив эти данные в командный центр, и использует vssadmin для удаления теневых копий.

По данным Trend Micro, CrypMIC, как и CryptXXX, представляет особую угрозу для предприятий, так как шифровать файлы на съемных и сетевых дисках. Оба шифровальщика требуют одинаковую сумму от 1,2 до 2,4 биткоинов, утверждают исследователи.

Тем не менее, у нового шифровальщика отсутствует ряд важного функционала – он не может собирать и красть информацию пользователей. В свое время CryptXXX прославился именно засчет этих возможностей.

«Оба шифровальщика, и CrypMIC и CryptXXX, представляют угрозу как для пользователей, так и для предприятий. Если вы заплатите злоумышленникам, это не гарантирует вам возврат ваших файлов. Например, дешифратор, созданный разработчиками CrypMIC не расшифровывал файлы должны образом» - утверждают специалисты компании Trend Micro.

Кроме того, исследователи в области безопасности отмечают, что предприятия и пользователи, которые в конечном итоге заплатили злоумышленникам, не застрахованы от дальнейших атак.

Фейковые заказчики атакуют производство в России целевым фишингом

«Лаборатория Касперского» обнаружила многоступенчатую фишинговую кампанию против производственных предприятий. Под удар попали организации в разных странах, включая Россию, Чехию, Малайзию и Египет. Кампания стартовала в апреле 2026 года и, по данным компании, всё ещё продолжается.

Схема построена не на грубом «срочно оплатите счёт», а на более аккуратной легенде.

Злоумышленники пишут на английском языке якобы от лица потенциального заказчика: интересуются продукцией, спрашивают стоимость, наличие или другие детали.

Если сотрудник отвечает, атака переходит на следующий уровень. Ему присылают ссылку, где якобы лежит файл с техническими требованиями к продукту. Иногда ссылку отправляют сразу, иногда — после небольшой переписки и уточняющих вопросов, чтобы всё выглядело убедительнее.

После перехода пользователь попадает на фишинговую страницу, которая маскируется под популярный облачный сервис для работы с PDF-документами. Дальше классика: жертве предлагают нажать «скачать», а затем появляется форма аутентификации.

Нужно ввести корпоративную почту и пароль якобы для защиты файла от несанкционированного доступа. На самом деле никакой защиты там нет, только аккуратный сбор учётных данных.

В «Лаборатории Касперского» отмечают, что целевой фишинг становится сложнее. Атакующие всё чаще используют многоэтапные сценарии, заранее изучают компании и подстраивают легенды под особенности отрасли. В случае с производством ставка делается на привычную рабочую коммуникацию: запросы от заказчиков, спецификации, файлы с требованиями и деловую переписку.

Эксперты предупреждают: такие атаки опасны именно своей нормальностью. Письмо выглядит как обычный рабочий запрос, ссылка — как файл от клиента, форма входа — как стандартная проверка. Поэтому компаниям стоит не только ставить защитные решения, но и регулярно объяснять сотрудникам простое правило: если «заказчик» просит ввести корпоративный пароль на странной странице, это уже не заказчик, а охота за доступом.

RSS: Новости на портале Anti-Malware.ru