Недавно был замечен новый вид вымогателя, который распространяется в двух разных вариациях. Одна из этих вариаций, как утверждают эксперты, снимает и отсылает скриншоты с компьютера жертвы злоумышленникам.
DetoxCrypto, новый вид вредоносной программы, как представляется, мог быть продан через Dark Web. На данный момент существуют различные варианты этого вымогателя, использующие разные темы, электронные почты и имеющие различные функции. Один из наблюдаемых вариантов действует как стандартный вымогатель (за исключением функции отсылки скриншотов), а другие маскируются под приложение PokemonGo.
Все варианты этого вымогателя используют шифрование AES и могут останавливать функции MySQL и MSSQL на зараженных машинах, Bleeping Computer. Кроме того, во время отображения экрана блокировки и требований выкупа, зловред проигрывает аудиофайл. Вымогатель также инструктирует пользователей связаться со злоумышленниками, написав им на адрес электронной почты, указанный на экране блокировки, чтобы восстановить доступ к своим файлам.
Исследователям пока не удалось определить, как именно распространяется этот зловред, но они утверждают, что все варианты имеют вид единственного исполняемого файла. Этот файл содержит другие исполняемые файлы и компоненты, встроенные в него. При запуске основной исполняемый извлекает файл MicrosoftHost.exe, звуковой файл, фоновые обои и исполняемый файл с разным именем для каждого варианта.
MicrosoftHost.exe используется для шифрования и для остановки серверных процессов на компьютере жертвы. Вредоносная программа не добавляет расширение к зашифрованным файлам, но меняет фон рабочего стола.
Второй исполняемый файл может отображать экран блокировки, проигрывать звуковой файл и может расшифровать файлы, если введен правильный пароль. Этот файл разный для каждого вида и исследователи на данный момент встречали два имени этого файла: Calipso.exe и Pokemon.exe.
Calipso извлекает многочисленные файлы в каталог C:\Users\[account_name]\Calipso, после чего начинает шифровать файлы пользователя. После того как процесс шифрования завершен, вредоносная программа отображает экран блокировки, на котором пользователю рекомендуется связаться со злоумышленником через почту motox2016(at)mail2tor.com, чтобы получить инструкции по оплате.
Особенность данного шифровальщика заключается в том, что он снимает скриншот активного экрана и отправляет его злоумышленнику. Исследователи считают, что если скриншот будет содержать компрометирующую информацию, злоумышленники увеличат сумму оплаты.
Файл, распространяемый в виде Pokemongo.exe извлекает файлы в C:\Users\[account_name]\Downloads\Pokemon. Затем вредоносная программа шифрует файлы жертвы, отображая экран блокировки под названием "Мы все покемоны" (We are all Pokemons).
В Польше задержали гражданина России по подозрению во взломе ИТ-инфраструктуры польских предприятий. Как сообщает Центральное бюро по борьбе с киберпреступностью, операция прошла 16 ноября в Кракове по поручению окружной прокуратуры.
По данным следствия, мужчина незаконно пересёк польскую границу ещё в 2022 году, а спустя год получил статус беженца.
Правоохранители считают, что он мог получить несанкционированный доступ к системе интернет-магазина, вмешиваться в базы данных и менять их структуру.
Эти действия, по версии прокуратуры, могли поставить под угрозу работу компаний и безопасность клиентов.
Суд отправил задержанного под трёхмесячный арест. Сейчас проверяется его возможная связь с другими кибератаками — как на территории Польши, так и в странах Европейского союза.
Напомним, на днях Мещанский суд Москвы заключил под стражу 21-летнего предпринимателя из Томска Тимура Килина, обвиняемого по статье о госизмене. Как следует из данных судебной картотеки, решение принято по ходатайству следствия, а защита пока не оспорила меру пресечения.
Суд не раскрывает никаких деталей дела: материалы полностью засекречены, как и содержание заседаний, что стандартно для процессов по ст. 275 УК РФ.
Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
