Недавно был замечен новый вид вымогателя, который распространяется в двух разных вариациях. Одна из этих вариаций, как утверждают эксперты, снимает и отсылает скриншоты с компьютера жертвы злоумышленникам.
DetoxCrypto, новый вид вредоносной программы, как представляется, мог быть продан через Dark Web. На данный момент существуют различные варианты этого вымогателя, использующие разные темы, электронные почты и имеющие различные функции. Один из наблюдаемых вариантов действует как стандартный вымогатель (за исключением функции отсылки скриншотов), а другие маскируются под приложение PokemonGo.
Все варианты этого вымогателя используют шифрование AES и могут останавливать функции MySQL и MSSQL на зараженных машинах, Bleeping Computer. Кроме того, во время отображения экрана блокировки и требований выкупа, зловред проигрывает аудиофайл. Вымогатель также инструктирует пользователей связаться со злоумышленниками, написав им на адрес электронной почты, указанный на экране блокировки, чтобы восстановить доступ к своим файлам.
Исследователям пока не удалось определить, как именно распространяется этот зловред, но они утверждают, что все варианты имеют вид единственного исполняемого файла. Этот файл содержит другие исполняемые файлы и компоненты, встроенные в него. При запуске основной исполняемый извлекает файл MicrosoftHost.exe, звуковой файл, фоновые обои и исполняемый файл с разным именем для каждого варианта.
MicrosoftHost.exe используется для шифрования и для остановки серверных процессов на компьютере жертвы. Вредоносная программа не добавляет расширение к зашифрованным файлам, но меняет фон рабочего стола.
Второй исполняемый файл может отображать экран блокировки, проигрывать звуковой файл и может расшифровать файлы, если введен правильный пароль. Этот файл разный для каждого вида и исследователи на данный момент встречали два имени этого файла: Calipso.exe и Pokemon.exe.
Calipso извлекает многочисленные файлы в каталог C:\Users\[account_name]\Calipso, после чего начинает шифровать файлы пользователя. После того как процесс шифрования завершен, вредоносная программа отображает экран блокировки, на котором пользователю рекомендуется связаться со злоумышленником через почту motox2016(at)mail2tor.com, чтобы получить инструкции по оплате.
Особенность данного шифровальщика заключается в том, что он снимает скриншот активного экрана и отправляет его злоумышленнику. Исследователи считают, что если скриншот будет содержать компрометирующую информацию, злоумышленники увеличат сумму оплаты.
Файл, распространяемый в виде Pokemongo.exe извлекает файлы в C:\Users\[account_name]\Downloads\Pokemon. Затем вредоносная программа шифрует файлы жертвы, отображая экран блокировки под названием "Мы все покемоны" (We are all Pokemons).
Москвичи уже второй день жалуются на проблемы с мобильным интернетом, у некоторых отвалился даже Wi-Fi. Как оказалось, от сбоев страдают не только столичные жители, но и пользователи из других регионов.
Больше всего жалоб поступает от клиентов МТС. Трудности испытывают также абоненты Т2, Yota, МегаФона, «Билайна».
По данным Центра мониторинга (ЦМУ ССОП), работающего под эгидой Роскомнадзора, в случае МТС наиболее распространенная проблема — отсутствие интернет-связи (76% зафиксированных случаев), которое наблюдается в основном в европейской части страны, на юге и в Сибири.
Как выяснили журналисты, 27 ноября ввиду возможных атак БПЛА был введен особый режим реагирования на территории Ставропольского и Краснодарского краев, Брянской, Волгоградской, Ростовской и Оренбургской областей.
Проинформировать жителей заранее у властей не было возможности. Ограничения будут сняты, как только отпадет необходимость в дополнительных мерах безопасности.
Сегодня также частично отключили мобильный интернет в Белгородской области. В столице Бурятии зону ограничений расширили на все объекты КИИ, в результате под блокировку попали и операторы связи.
По идее, в таких условиях должна сохраняться доступность веб-сервисов из белого списка Минцифры , однако некоторые россияне жалуются, что не могут воспользоваться почтой Mail.ru, хотя это имя числится в реестре.
Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
