Тестовая версия вымогателя Hitler удаляет файлы пользователя

Олег Иванов 10 Августа 2016 - 10:27

Домашние пользователи

Windows

AVG

Защита персональных данных

Программы-вымогатели

Программы-шифровальщики

...

Тестовая версия вымогателя Hitler удаляет файлы пользователя

Недавно появившийся шифровальщик Hitler (Hitler-Ransomware) на данный момент еще не способен шифровать файлы пользователей, однако отображает экран блокировки и требует €25.

Эксперты предполагают, что этот вредонос еще находится в стадии разработки и эта версия просто случайно утекла в сеть. Хотя также эта версия может быть результатом трудов менее опытных разработчиков. У вымогателя присутствуют некоторые орфографические ошибки в интерфейсе, и он не шифрует пользовательские файлы, но может нанести значительный вред системе.

Говоря более конкретно, Hitler-Ransomware (или как написано с ошибкой на экране блокировки Hitler-Ransonware) удаляет все расширения файлов в различных директориях, отображает экран блокировки с Гитлером и начинает обратный отсчет времени в один час. По истечению часа вредоносная программа заставляет компьютер-жертву перезагрузиться и в момент загрузки удаляет все файлы в %UserProfile%.

Обнаруженный специалистом AVG по вредоносным программам Jakub Kroustek, вредоносный код этого вымогателя указывает на то, что его мог создать немецкий разработчик. Найденный в коде текст на немецком подтверждает, что это всего лишь тестовая версия шифровальщика.

По мнению исследователей, исполняемый файл вымогателя является пакетным, который был преобразован в исполняемый установочный файл с другими приложениями в комплекте. После запуска вымогатель удаляет все расширения у файлов в %UserProfile%, в папках: Изображения, Документы, Загрузки, Музыка, Видео, Контакты, Ссылки и Рабочий стол.

Затем шифровальщик извлекает в папку %Temp% три файла: chrst.exe, ErOne.vbs, и firefox32.exe. Кроме того, вредонос копирует файл firefox32.exe в папку Common Startup, чтобы убедиться, что он запустится при загрузке.

Следующим шагом вредонос запускает файл ErOne.vbs, который отображает предупреждение о том, что "Файл не может быть найден!». Это попытка обмануть жертву, заставив думать, что программа не работает должным образом. Затем на выполнение запускается файл chrset.exe, который предназначен для отображения экрана блокировки и запуска таймера.

Когда таймер достигает нуля, вымогатель завершает системный процесс csrss.exe, вызывая сбой Windows, который либо приводит к автоматической перезагрузке, либо находится в состоянии сбоя, пока пользователь сам не перезагрузит систему. После перезагрузки файл firefox32.exe запускается автоматически и удаляет все файлы в папке %UserProfile%.

Исследователи предупреждают, что, несмотря на то, что это тестовая версия шифровальщика, до финального релиза она может претерпеть значительные изменения. Для того, чтобы избежать удаления своих файлов, пользователям рекомендуется отключить автоматическую перезагрузку в случае сбоя Windows. Также мерой предосторожности будет хранение файлов в другом каталоге, а не в %UserProfile%.

Следующая главная новость »

Знай своего врага: как работает киберразведка в 2026 году?
Регистрируйтесь на эфир!

Екатерина Быстрова 27 Февраля 2026 - 13:12

Android Домашние пользователи

Кто снимает? Новое Android-приложение обнаруживает умные очки рядом

Смарт-очки с камерами всё чаще появляются в общественных местах, поэтому у многих возникает закономерный вопрос: а можно ли понять, что кто-то рядом ведёт съёмку? Разработчик Ив Жанрено предложил свой ответ — Android-приложение Nearby Glasses. Приложение сканирует Bluetooth Low Energy (BLE) и пытается определить поблизости устройства, связанные с известными производителями умных очков.

В основе не названия устройств (их легко менять), а так называемый manufacturer ID — идентификатор компании в BLE-пакетах. Он стандартизирован и закреплён за конкретным производителем, поэтому служит более стабильным признаком.

Сейчас Nearby Glasses отслеживает четыре ID:

0x01AB — Meta Platforms (корпорация Meta признана экстремистской и запрещена в России);
0x058E — Meta Platforms Technologies;
0x0D53 — Luxottica (производитель Meta Ray-Ban);
0x03C2 — Snapchat (Snap Spectacles).

При желании пользователь может вручную добавить другие значения.

Когда приложение обнаруживает устройство с заданным ID и уровнем сигнала выше установленного порога (по умолчанию −75 dBm, что соответствует примерно 10–15 метрам на открытом пространстве), оно отправляет уведомление. Чтобы не заваливать пользователя предупреждениями, встроен «период тишины» — по умолчанию 10 секунд.

Разработка вдохновлена реальными случаями. В СМИ уже описывались эпизоды, когда очки Meta Ray-Ban использовались для скрытой съёмки. А один студент Гарварда демонстрировал работу очков в связке с системой распознавания лиц и открытыми данными в режиме реального времени.

При этом автор честно предупреждает: ложные срабатывания возможны. Manufacturer ID используется для всей линейки продуктов компании, поэтому приложение может реагировать и на другие устройства того же бренда, например VR-гарнитуры Meta. В таких случаях помогает контекст: если вокруг нет VR-шлемов, но есть человек в очках, вероятность совпадения выше.

Приложение работает как фоновая слжба Android, не собирает пользовательские данные, не отправляет телеметрию и не показывает рекламу. Логи (если включены) сохраняются только локально и содержат лишь обнаруженные ID.

Разработчики планируют расширить список производителей, улучшить интерфейс на отдельных устройствах (например, Pixel), локализацию и, возможно, выпустить версию для iOS. В перспективе автор также рассматривает более глубокий анализ BLE-трафика для снижения числа ложных тревог, но это потребует дополнительной технической проработки.

Nearby Glasses доступно в Google Play и на GitHub, где опубликован исходный код на Kotlin.

Знай своего врага: как работает киберразведка в 2026 году?
Регистрируйтесь на эфир!