Эксперт Avast обнаружил новый шифровальщик «Kirk», использующий Monero

Эксперт Avast обнаружил новый шифровальщик «Kirk», использующий Monero

Эксперт Avast обнаружил новый шифровальщик «Kirk», использующий Monero

Исследователи обнаружили новый образец вымогателя с отсылкой к фильму Star Trek. Он шифрует 625 различных типов файлов и требует выкуп в виртуальной валюте Monero.

Вредонос, получивший название Kirk, был обнаружен экспертом Avast Якубом Кроустеком (Jakub Kroustek). Он написан на Python и это, пожалуй, первый зловред такого рода, который использует Monero в качестве валюты для выкупа.

Monero - криптовалюта с открытым исходным кодом, запущенная 18 апреля 2014 года с акцентом на конфиденциальность, которая начала набирать популярность только в прошлом году.

Как отмечает Лоренс Абрамс (Lawrence Abrams) из BleepingComputer, Kirk может быть первым вымогателем, требующим Monero для оплаты. Исследователь утверждает, что большинство других видов вымогателей требуют биткойны.

«Даже несмотря на то, что биткойны становятся все более популярными, приобрести их все еще непросто. Внедряя новую криптовалюту, злоумышленники рискуют запутать пользователей, что еще больше усложнит выплату выкупа» - считает Абрамс.

Экспертам пока еще не до конца известно, каким именно образом распространяется новый вымогатель. После запуска он генерирует ключ AES, используемый для шифрования файлов жертвы, после чего шифрует ключ, используя встроенный открытый ключ шифрования RSA-4096. Затем зловред сохраняет его в файле с именем pwd в том же каталоге, что и исполняемый вредоносный файл.

Шифровальщик добавляет расширение .kirk к зашифрованным файлам. Помимо этого, он копирует записку с требованиями в ту же папку, где находится исполняемый файл и отображает ее пользователю. Жертвам предлагается приобрести около 1 100 долларов в Monero и отправить их на определенный адрес. После совершения платежа пользователь должен отправить файл pwd и идентификатор платежной транзакции на адреса электронной почты kirk.help@scryptmail.com или kirk.payments@scryptmail.com.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Мошенники создают копии сайтов после открытия аэропорта в Геленджике

Сразу после открытия аэропорта в Геленджике активизировались организаторы фишинговых атак. Злоумышленники создают копии популярных сервисов по продаже авиабилетов, чтобы продавать несуществующие билеты или перехватывать платёжные данные пользователей.

Председатель комитета по повышению финансовой грамотности Ассоциации российских банков (АРБ), эксперт проекта Минфина России «Мои финансы» Максим Семов рассказал «Российской газете», что сайты-двойники начали появляться практически сразу после объявления об открытии аэропорта в Геленджике.

Многие пользователи стали жертвами мошенников на фоне ажиотажа и опасений не успеть купить билеты.

Как сообщает компания F6, фишинговые сайты начали появляться ещё до официального запуска аэропорта. Злоумышленники нередко заставляют жертв устанавливать шпионские приложения, чтобы получить доступ к их финансовым данным.

По словам эксперта, фейковые ресурсы появляются постоянно. Мошенники тщательно копируют дизайн оригинальных платформ, а отличия могут сводиться к одной букве в адресной строке. Максим Семов рекомендует вводить адрес сайта вручную, а не переходить по ссылкам из писем или мессенджеров.

Кроме продажи билетов, злоумышленники предлагают туры и бронирования по заниженным ценам. Нередко они продают путёвки в несуществующие отели и детские лагеря — эта схема активно используется уже не первый год.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru