Новый шифровальщик снимает и отправляет злоумышленникам скриншоты

Новый шифровальщик снимает и отправляет злоумышленникам скриншоты

Новый шифровальщик снимает и отправляет злоумышленникам скриншоты

Недавно был замечен новый вид вымогателя, который распространяется в двух разных вариациях. Одна из этих вариаций, как утверждают эксперты, снимает и отсылает скриншоты с компьютера жертвы злоумышленникам.

DetoxCrypto, новый вид вредоносной программы, как представляется, мог быть продан через Dark Web. На данный момент существуют различные варианты этого вымогателя, использующие разные темы, электронные почты и имеющие различные функции. Один из наблюдаемых вариантов действует как стандартный вымогатель (за исключением функции отсылки скриншотов), а другие маскируются под приложение PokemonGo.

Все варианты этого вымогателя используют шифрование AES и могут останавливать функции MySQL и MSSQL на зараженных машинах, сообщает Bleeping Computer. Кроме того, во время отображения экрана блокировки и требований выкупа, зловред проигрывает аудиофайл. Вымогатель также инструктирует пользователей связаться со злоумышленниками, написав им на адрес электронной почты, указанный на экране блокировки, чтобы восстановить доступ к своим файлам.

Исследователям пока не удалось определить, как именно распространяется этот зловред, но они утверждают, что все варианты имеют вид единственного исполняемого файла. Этот файл содержит другие исполняемые файлы и компоненты, встроенные в него. При запуске основной исполняемый извлекает файл MicrosoftHost.exe, звуковой файл, фоновые обои и исполняемый файл с разным именем для каждого варианта.

MicrosoftHost.exe используется для шифрования и для остановки серверных процессов на компьютере жертвы. Вредоносная программа не добавляет расширение к зашифрованным файлам, но меняет фон рабочего стола.

Второй исполняемый файл может отображать экран блокировки, проигрывать звуковой файл и может расшифровать файлы, если введен правильный пароль. Этот файл разный для каждого вида и исследователи на данный момент встречали два имени этого файла: Calipso.exe и Pokemon.exe.

Calipso извлекает многочисленные файлы в каталог C:\Users\[account_name]\Calipso, после чего начинает шифровать файлы пользователя. После того как процесс шифрования завершен, вредоносная программа отображает экран блокировки, на котором пользователю рекомендуется связаться со злоумышленником через почту motox2016(at)mail2tor.com, чтобы получить инструкции по оплате.

Особенность данного шифровальщика заключается в том, что он снимает скриншот активного экрана и отправляет его злоумышленнику. Исследователи считают, что если скриншот будет содержать компрометирующую информацию, злоумышленники увеличат сумму оплаты.

Файл, распространяемый в виде Pokemongo.exe извлекает файлы в C:\Users\[account_name]\Downloads\Pokemon. Затем вредоносная программа шифрует файлы жертвы, отображая экран блокировки под названием "Мы все покемоны" (We are all Pokemons).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Выручка «Группы Астра» достигла 6,6 млрд рублей за 6 месяцев 2025 года

ПАО «Группа Астра» опубликовала показатели по МСФО за первые шесть месяцев 2025 года. Как отмечает компания, её бизнес традиционно имеет сезонность: большая часть отгрузок приходится на второе полугодие, тогда как расходы распределены равномерно.

В отчетный период отгрузки выросли на 4% год к году и достигли 5,8 млрд рублей. Выручка увеличилась на 34% и составила 6,6 млрд рублей.

Рост объясняется в том числе признанием выручки от ранее поставленных продуктов и увеличением доходов от сопровождения. Скорректированная EBITDA составила 1,3 млрд рублей, скорректированная чистая прибыль — 0,6 млрд рублей. Показатель чистый долг/EBITDA LTM на 30 июня 2025 года равен 0,23, что указывает на низкую долговую нагрузку.

В апреле совет директоров одобрил buyback до 2 млн акций (около 1% капитала). На конец августа компания выкупила 500 тысяч акций. В июне акционеры утвердили дивиденды по итогам 2024 года в размере 661 млн рублей (3,15 рубля на акцию). С учетом промежуточных выплат общая сумма дивидендов составила 1,2 млрд рублей, или 5,79 рубля на акцию.

Заместитель гендиректора по экономике и финансам Елена Бородкина отметила, что компания работает в условиях высокой ключевой ставки и снижения инвестиционной активности заказчиков, что влияет на цикл согласования проектов и формирует отложенный спрос:

«Мы все еще видим замедление в ИТ-секторе: действующие и потенциальные клиенты по-прежнему осторожно подходят к инвестиционным решениям, что удлиняет цикл согласования проектов и формирует отложенный спрос. Это видно по отгрузкам за отчетный период, которые остались почти на том же уровне относительно аналогичного периода 2024 года. Указанные факторы наряду с исторической сезонностью могут оказать влияние на финальные годовые результаты группы. Однако итоговая динамика финансовых показателей будет зависеть от макроэкономических условий и активности клиентов».

По словам Бородкиной, в компании усиливается контроль расходов и оптимизация процессов разработки, включая устранение дублирующих функций после сделок M&A и переход к новому портфельному подходу к развитию продуктов.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru