Тестовая версия вымогателя Hitler удаляет файлы пользователя

Тестовая версия вымогателя Hitler удаляет файлы пользователя

Тестовая версия вымогателя Hitler удаляет файлы пользователя

Недавно появившийся шифровальщик Hitler (Hitler-Ransomware) на данный момент еще не способен шифровать файлы пользователей, однако отображает экран блокировки и требует €25.

Эксперты предполагают, что этот вредонос еще находится в стадии разработки и эта версия просто случайно утекла в сеть. Хотя также эта версия может быть результатом трудов менее опытных разработчиков. У вымогателя присутствуют некоторые орфографические ошибки в интерфейсе, и он не шифрует пользовательские файлы, но может нанести значительный вред системе.

Говоря более конкретно, Hitler-Ransomware (или как написано с ошибкой на экране блокировки Hitler-Ransonware) удаляет все расширения файлов в различных директориях, отображает экран блокировки с Гитлером и начинает обратный отсчет времени в один час. По истечению часа вредоносная программа заставляет компьютер-жертву перезагрузиться и в момент загрузки удаляет все файлы в %UserProfile%.

Обнаруженный специалистом AVG по вредоносным программам Jakub Kroustek, вредоносный код этого вымогателя указывает на то, что его мог создать немецкий разработчик. Найденный в коде текст на немецком подтверждает, что это всего лишь тестовая версия шифровальщика. 

По мнению исследователей, исполняемый файл вымогателя является пакетным, который был преобразован в исполняемый установочный файл с другими приложениями в комплекте. После запуска вымогатель удаляет все расширения у файлов в %UserProfile%, в папках: Изображения, Документы, Загрузки, Музыка, Видео, Контакты, Ссылки и Рабочий стол.

Затем шифровальщик извлекает в папку %Temp% три файла: chrst.exe, ErOne.vbs, и firefox32.exe. Кроме того, вредонос копирует файл firefox32.exe в папку Common Startup, чтобы убедиться, что он запустится при загрузке.

Следующим шагом вредонос запускает файл ErOne.vbs, который отображает предупреждение о том, что "Файл не может быть найден!». Это попытка обмануть жертву, заставив думать, что программа не работает должным образом. Затем на выполнение запускается файл chrset.exe, который предназначен для отображения экрана блокировки и запуска таймера.

Когда таймер достигает нуля, вымогатель завершает системный процесс csrss.exe, вызывая сбой Windows, который либо приводит к автоматической перезагрузке, либо находится в состоянии сбоя, пока пользователь сам не перезагрузит систему. После перезагрузки файл firefox32.exe запускается автоматически и удаляет все файлы в папке %UserProfile%.

Исследователи предупреждают, что, несмотря на то, что это тестовая версия шифровальщика, до финального релиза она может претерпеть значительные изменения. Для того, чтобы избежать удаления своих файлов, пользователям рекомендуется отключить автоматическую перезагрузку в случае сбоя Windows. Также мерой предосторожности будет хранение файлов в другом каталоге, а не в %UserProfile%.

Android будет сохранять документы в облако и съедать место на Google Drive

Google меняет систему резервного копирования Android и дает пользователям чуть больше контроля. В свежем обновлении служб Google Play версии 26.25 появилась отдельная настройка для сообщений, а заодно — возможность отправлять в облако документы с телефона.

Раньше СМС, MMS и RCS сохранялись автоматически. Теперь резервное копирование переписки можно отключить отдельным переключателем.

Правда, Google спрятала RCS внутрь категории MMS, чтобы всё было не слишком очевидно.

На большинстве смартфонов настройка появится по пути: «Настройки» — «Аккаунты и резервное копирование» — «Резервное копирование Google» — «Другие данные устройства». Там же находятся история звонков и системные параметры.

Более заметное нововведение — резервное копирование документов. Android сможет сохранять файлы DOC, PPT, XLS, PDF и других форматов по обычному расписанию. Копии будут складываться в Google Drive, в папку с названием устройства. При необходимости резервное копирование можно запустить вручную.

Но есть нюанс: это именно копия, а не синхронизация. Файл в облаке будет существовать отдельно от оригинала и не станет автоматически обновляться после каждого изменения.

И тут начинается самое интересное. Google сократила бесплатный объем хранилища с 15 до 5 Гбайт, а данные резервных копий Android теперь тоже учитываются в этом лимите. Обычный бэкап может занимать около 40 Мбайт, но документы способны быстро превратить скромную копию в прожорливый архив.

Так что новая функция действительно может спасти важный файл. Главное — чтобы к этому моменту Google Drive еще не сообщил, что место закончилось.

RSS: Новости на портале Anti-Malware.ru