Эксперты предупреждают о наличии нового семейства вымогателей, распространяемого при помощи набора эксплоитов RIG. На данный момент оно находится на стадии тестирования и, по словам исследователей, может представлять серьезную угрозу.
Получившая имя PyCL, вредоносная программа написана на Python, со скриптом cl.py. Опираясь на название этого скрипта, эксперты BleepingComputer , Лоуренс Абрамс (Lawrence Abrams), вредоносу соответствующее название.
Новая угроза распространяется под видом установщика NSIS и содержит пакет Python, предназначенный для шифрования файлов пользователей, а также инструкцию по оплате выкупа. Судя по всему, вредоносная программа взаимодействует с командным центром (C&C) на каждом этапе процесса шифрования, чтобы предоставить разработчику отладочную информацию.
Один из исследователей, обнаруживших PyCL, Дэвид Мартинес (), нашел в программе файл с именем user.txt и выяснил, что строка в нем отправляется в командный центр во время каждого запроса. По словам Абрамса, это говорит о том, что PyCL является частью системы «вымогатель как услуга» (Ransomware as a Service, RaaS), где имя пользователя является аффилированным идентификатором.
Вымогатель, попав в систему, первым делом проверяет наличие прав администратора, и если они есть, удаляет теневые копии. Затем вредоносная программа отправляет злоумышленнику версию Windows, разрешение экрана, архитектуру процессора, имя компьютера, имя пользователя и MAC-адрес основного сетевого адаптера.
PyCL использует уникальный ключ шифрования AES-256 для каждого файла, сохраняет список файлов и их ключей расшифровки в файл со случайным именем в папке CL, а затем шифрует этот файл при помощи открытого ключа шифрования RSA-2048.
В то время как большинство вымогателей заменяют файлы пользователей своими зашифрованными аналогами, PyCL оставляет исходные файлы на жестком диске, что означает, что пользователям не нужно платить, чтобы вернуть их. Однако этот момент может быть исправлен в последующих версиях. В заключительном этапе шифровальщик отображает экран блокировки, который содержит таймер, рассчитанный на четыре дня, биткойн-адрес и сумму выкупа.
Компания «Стахановец» получила бессрочную лицензию ФСТЭК России на разработку и производство средств защиты конфиденциальной информации. Продукт, представленный на рынке с 2009 года, входит в Реестр российского программного обеспечения.
Согласно лицензии № Л050-00107-77/02210986, компания имеет право разрабатывать и производить программно-технические комплексы для защиты, обработки и контроля информации, а также внедрять их на объектах критической информационной инфраструктуры.
Ранее система «Стахановец», предназначенная для защиты от утечек данных и мониторинга сотрудников, получила сертификат соответствия ФСТЭК России по 4 уровню доверия.
«Для нас, как для разработчика, критически важно не только расширять функциональность решения, но и обеспечивать максимально высокий уровень безопасности», — отметил генеральный директор компании Дмитрий Исаев.
«Это цель, которую ставят перед собой лидеры рынка, и важный критерий для наших клиентов. Мы ценим их обратную связь и считаем принципиально важным соответствовать требованиям регуляторов в области ИТ-безопасности».
Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
