Обнаружена тестовая кампания по распространению шифровальщика PyCL

Олег Иванов 31 Марта 2017 - 21:29

...

Обнаружена тестовая кампания по распространению шифровальщика PyCL

Эксперты предупреждают о наличии нового семейства вымогателей, распространяемого при помощи набора эксплоитов RIG. На данный момент оно находится на стадии тестирования и, по словам исследователей, может представлять серьезную угрозу.

Получившая имя PyCL, вредоносная программа написана на Python, со скриптом cl.py. Опираясь на название этого скрипта, эксперты BleepingComputer , Лоуренс Абрамс (Lawrence Abrams), дал вредоносу соответствующее название.

Новая угроза распространяется под видом установщика NSIS и содержит пакет Python, предназначенный для шифрования файлов пользователей, а также инструкцию по оплате выкупа. Судя по всему, вредоносная программа взаимодействует с командным центром (C&C) на каждом этапе процесса шифрования, чтобы предоставить разработчику отладочную информацию.

Один из исследователей, обнаруживших PyCL, Дэвид Мартинес (David Martínez), нашел в программе файл с именем user.txt и выяснил, что строка в нем отправляется в командный центр во время каждого запроса. По словам Абрамса, это говорит о том, что PyCL является частью системы «вымогатель как услуга» (Ransomware as a Service, RaaS), где имя пользователя является аффилированным идентификатором.

Вымогатель, попав в систему, первым делом проверяет наличие прав администратора, и если они есть, удаляет теневые копии. Затем вредоносная программа отправляет злоумышленнику версию Windows, разрешение экрана, архитектуру процессора, имя компьютера, имя пользователя и MAC-адрес основного сетевого адаптера.

PyCL использует уникальный ключ шифрования AES-256 для каждого файла, сохраняет список файлов и их ключей расшифровки в файл со случайным именем в папке CL, а затем шифрует этот файл при помощи открытого ключа шифрования RSA-2048.

В то время как большинство вымогателей заменяют файлы пользователей своими зашифрованными аналогами, PyCL оставляет исходные файлы на жестком диске, что означает, что пользователям не нужно платить, чтобы вернуть их. Однако этот момент может быть исправлен в последующих версиях. В заключительном этапе шифровальщик отображает экран блокировки, который содержит таймер, рассчитанный на четыре дня, биткойн-адрес и сумму выкупа.

Следующая главная новость »

Безопасная разработка 2026: как убрать уязвимости ещё до релиза?
Регистрируйтесь на эфир!

Екатерина Быстрова 23 Июня 2026 - 15:25

Dr.Web CureIt Домашние пользователи Корпорации Защита персональных компьютеров Персональный антивирус Доктор Веб

Dr.Web CureIt! получил платную Pro-версию, будет стоить от 10 рублей в день

Компания «Доктор Веб» представила новый продукт — Dr.Web CureIt! Pro. Это расширенная версия известной утилиты Dr.Web CureIt!, предназначенной для разовой проверки и лечения зараженных компьютеров. Изменения затронули подход к развитию продукта.

Бесплатная версия утилиты сохранится, но будет ориентирована на максимально простой сценарий использования: скачать, запустить проверку и устранить обнаруженные угрозы без дополнительных настроек.

Расширенные функции теперь вынесены в отдельную редакцию Dr.Web CureIt! Pro. В ней доступны более гибкие параметры сканирования, настройка исключений, ручной выбор действий для обнаруженных угроз и расширенная статистика проверки.

До 30 июня 2026 года пользователи могут протестировать новую версию бесплатно. Для этого достаточно оформить получение обычного Dr.Web CureIt! через официальный сайт компании — вместе со ссылкой на скачивание будет предоставлена лицензия на один день для Pro-версии.

С 1 июля модель распространения изменится. Бесплатный Dr.Web CureIt! останется доступным для скачивания, а использование Dr.Web CureIt! Pro станет платным. Стоимость составит 10 рублей за сутки работы, 50 рублей за пять дней или 100 рублей за десять дней.

Одновременно компания продолжает развивать и саму бесплатную утилиту. Ранее в Dr.Web CureIt! появилась возможность проверять файлы и каталоги, которые вредоносные программы специально добавляют в исключения антивирусов.

Такая техника нередко используется современными зловредами для обхода защитных механизмов. После заражения вредоносная программа может самостоятельно изменить настройки безопасности системы и исключить собственные файлы из проверки. В результате пользователь видит работающий антивирус, но часть опасных объектов остается вне зоны его внимания.

Новая функция позволяет обнаруживать подобные скрытые объекты даже в тех случаях, когда вредоносный инструмент попытался замаскироваться через систему исключений.

Таким образом, Dr.Web CureIt! теперь развивается по двум направлениям: бесплатная версия остается инструментом для быстрого лечения заражённого компьютера, а расширенные возможности анализа и настройки переходят в отдельный платный продукт.

Безопасная разработка 2026: как убрать уязвимости ещё до релиза?
Регистрируйтесь на эфир!