Автор недавно обнаруженного вымогателя распространяет свой продукт путем взлома служб протокола удалённого рабочего стола (RDP, Remote Desktop Protocol).
Вредонос получил имя RSAUtil, написан на Delphi и добавляет расширение .helppme@india.com.ID83994902 к зашифрованным файлам, об этом в твиттере исследователь Emsisoft. Вредоносная программа также копирует в каждую папку текстовый файл с именем How_return_files.txt, который содержит инструкции по выкупу.
Как Лоренс Абрамс (Lawrence Abrams) из BleepingComputer, помимо самой вредоносной программы злоумышленник загружает множество инструментов и конфигурационный файл, предназначенный для параметров запуска вымогателя.
Зловред распространяется вместе с пакетом, предназначенным для подготовки системы к установке RSAUtil. Файл CMD очищает следы того, как машина была скомпрометирована путем очистки журналов событий, еще два файла не позволяют компьютеру переходить в спящий режим, оставляя соединение активным, файл изображения предположительно используется как фон рабочего стола, а bat-файл используется для настройки различных опций.
Существует также файл конфигурации, который вымогатель использует в процессе шифрования. Он проверяет, был ли уже компьютер зашифрован, определяет, какой идентификатор, и какую электронную почту вредоносная программа должна использовать.
Пакет, в который входит RSAUtil имеет имя svchosts.exe. Он сканирует папки компьютера и шифрует файлы пользователя. Он также помещает записку о выкупе в каждую папку, где был зашифрован хоть один файл.
Вредоносная программа не нацелена на какой-то определенный тип файлов, это значит, что многие исполняемые файлы также шифруются. Проанализированные исследователями образцы этого вымогателя добавляют к зашифрованным файлам расширение .helppme@india.com.ID83624883.
По завершению процесса шифрования, RSAUtil отображает экран блокировки, информирующий пользователя о контактах злоумышленника (helppme@india.com или hepl111@aol). Если пользователь заплатит выкуп, он получит ключ дешифровки, который нужно будет ввести на экране блокировки, это восстановит доступ к файлам.
Сайт Роскомнадзора полностью перестал открываться. Ранее пользователи жаловались на недоступность отдельных разделов, в том числе предназначенных для сдачи отчетности операторами связи. Резкий рост числа обращений о сбоях зафиксирован около 13:00 по московскому времени.
О проблемах в работе ресурса регулятора сообщила телекомпания ВГТРК. Сервис мониторинга сбоев Detector404 также зафиксировал неполадки.
Жалобы поступили от жителей 28 городов. В основном пользователи сообщают о полной недоступности сайта.
Ещё до массовой волны обращений телеграм-канал Ассоциации малых операторов России (АМОР) сообщил о невозможности зайти в раздел сайта, предназначенный для передачи отчетности.
Сообщение появилось незадолго до окончания срока сдачи отчетов. Непредоставление отчетности может повлечь за собой лишение лицензии для операторов связи. Восстановление лицензии обойдется примерно в 2 млн рублей и потребует значительного количества согласований.
Ответственность за инцидент взяла на себя «ИТ армия Украины».
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
