Вымогатель SamSam повышает сумму выкупа до 33 000 долларов

Олег Иванов 26 Июня 2017 - 07:58

...

Вымогатель SamSam повышает сумму выкупа до 33 000 долларов

Вымогатель SamSam в новых, недавно обнаруженных атаках требует 33 000 долларов США за расшифровку файлов всех компьютеров в сети. В отличие от большинства вымогателей, SamSam не распространяется через автоматизированные инструменты, такие как наборы эксплойтов или спам. Вместо этого его устанавливают на уязвимых системах вручную.

Если этому зловреду удалось заразить одну машину в сети, он непременно будет пытаться также скомпрометировать другие. Авторы SamSam используют протокол удаленного рабочего стола (RDP), веб-оболочки и пакетные скрипты для компрометации сетей, отмечает эксперт Крис Доман в блоге.

Исследователи говорят, что, написанная на C#, последняя версия этой вредоносной программы не демонстрирует никаких отличий от предыдущих образцов. По словам эксперта Vallejo, вымогатель шифрует более 300 типов файлов, а для шифрования использует функции encc.myff1 и encc.EncryptFile.

Недавние атаки SamSam следуют той же схеме, что и предыдущие, изменилась только сумма выкупа. Теперь злоумышленники требуют 1.7 биткойнов (более 4500 долларов США) для расшифровки файлов на одной машине, 6 биткойнов (более 16 000 долларов США) для дешифрования данных на половине компьютеров и 12 биткойнов (около 33 000 долларов США) для восстановления данных на всех зараженных компьютерах.

«Объемы, вложенные в операции злоумышленников, заставили их значительно поднять сумму выкупа. Из-за этого в прошлом году ФБР заинтересовалось ими» - говорит эксперт.

Один недавний инцидент, связанный с активностью SamSam коснулся больницы в Нью-Йорке, которая отказалась выплатить выкуп в размере 44 000 долларов.

«Самые последние атаки, похоже, были успешными, по крайней мере, с точки зрения атакующего. Адрес Bitcoin злоумышленников на этой неделе пополнился на 33 000 долларов» - утверждает Доман.

После шифрования файла SamSam удаляет оригинал, однако пользователи могут восстановить свои файлы или их часть, поскольку вредонос, похоже, не очищает сектора удаленных файлов.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 07 Ноября 2025 - 15:28

Android Трояны Домашние пользователи Корпорации

Fantasy Hub: в Telegram продают Android-троян по подписке для россиян

Исследователи из Zimperium zLabs сообщили о появлении нового продвинутого Android-трояна Fantasy Hub, который активно распространяется через каналы в Telegram по схеме Malware-as-a-Service — «вредонос по подписке». Этот инструмент открывает злоумышленникам доступ к смартфонам обычных пользователей и сотрудников банков.

Fantasy Hub — не просто очередной троян, а целая платформа. Разработчики предлагают покупателям выбрать иконку, название и интерфейс поддельного приложения, а телеграм-бот автоматически собирает APK с уже встроенным вредоносом.

Подписчики могут оплачивать разные тарифы: чем выше уровень — тем больше функций, включая доступ к панели управления, сбор данных и дистанционное управление устройствами.

Сервис снабжён документацией, видеоинструкциями и даже «службой поддержки». Вдобавок злоумышленникам объясняют, как подделывать страницы Google Play, обходить защиту Android и публиковать фальшивые отзывы, чтобы придать приложению видимость легальности.

Этот троян способен:

красть СМС, контакты, фотографии, видео и журналы звонков;
перехватывать и подменять уведомления;
получать полный контроль над устройством через роль СМС-обработчика (даёт доступ к камере, файлам и контактам без дополнительных разрешений);
вести аудио- и видеострим в реальном времени с заражённого телефона через WebRTC.

Fantasy Hub маскируется под системное обновление Google Play, включает проверку на root и песочницу, чтобы не попасть в руки аналитиков. При запуске троян показывает краткое сообщение «Live stream active», чтобы устройство не перешло в спящий режим, а затем тихо отключает микрофон и камеру.

Исследователи отмечают, что киберпреступники, использующие Fantasy Hub, прицельно атакуют финансовые организации — среди целей названы Альфа-Банк, ПСБ, Т-Банк и Сбер.

Для каждой жертвы создаются фишинговые окна, копирующие интерфейсы мобильных банков. Пользователь вводит логин, ПИН-код или данные карты — и вся информация тут же уходит на сервер злоумышленников.

Fantasy Hub показывает, насколько далеко зашла коммерциализация киберпреступности:

«Теперь запустить масштабную атаку на Android можно буквально в пару кликов — достаточно купить подписку в Telegram», — отмечают эксперты Zimperium.

Эта тенденция особенно тревожна для компаний, где сотрудники используют личные смартфоны для работы. Эксперты призывают бизнес активнее внедрять решения класса Mobile Threat Defense и ограничивать доступ корпоративных данных с незащищённых устройств.