Шифровальщик SyncCrypt прячет свои компоненты в изображениях

Олег Иванов 21 Августа 2017 - 09:02

...

Шифровальщик SyncCrypt прячет свои компоненты в изображениях

Недавно обнаруженный вымогатель скрывает свои компоненты внутри легитимных изображений. Таким образом вредоносу удается избежать обнаружения антивирусом.

SyncCrypt – вымогатель, распространяющийся через спам-письма, в которых содержатся вложения в виде WSF-файлов, которые маскируются под приказ суда. При запуске этих вложений встроенный JScript извлекает, казалось бы, безобидные изображения, которые однако содержат вредоносные компоненты.

Компоненты вымогателя хранятся в виде ZIP-файлов, JScript извлекает их в виде sync.exe, readme.html и readme.png, сообщает Лоуренс Абрамс из BleepingComputer.

Файл WSF также создает запланированное задание Windows под названием Sync. Как только файл sync.exe выполняется, он начинает сканирование компьютера жертвы на наличие определенных типов файлов и шифрует их с помощью AES-шифрования. Вредоносная программа шифрует AES-ключ встроенным ключом шифрования RSA-4096.

SyncCrypt шифрует более чем 350 типов файлов и добавляет к ним расширение .kk. Вредонос игнорирует файлы в следующих папках: \windows\, \program files (x86)\, \program files\, \programdata\, \winnt\, \system volume information\, \desktop\readme\ и \$recycle.bin\.

Злоумышленники требуют 430 долларов за расшифровку файлов, также требуют выслать им файл ключа. Хакеры пользуются следующими адресами электронной почты: getmyfiles@keemail.me, getmyfiles@scryptmail.com и getmyfiles@mail2tor.com.

Способ распространения этого вымогателя оказался очень эффективным, так как позволяет избегать обнаружения антивирусными программами. Согласно Абрамсу, только один из 58 антивирусных вендоров на VirusTotal смог обнаружить вредоносные изображения во время анализа. Однако файл Sync.exe детектируется уже 28 продуктами.

Следующая главная новость »

Публичное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!

Екатерина Быстрова 03 Июня 2026 - 08:30

Соответствие законодательству РФ Малый и средний бизнес Корпорации Соответствие требованиям регуляторов

Минцифры продлило ИТ-компаниям срок переаккредитации до 1 июля

Минцифры официально продлило срок прохождения плановой переаккредитации ИТ-компаний до 1 июля 2026 года включительно. У тех, кто ещё не успел подать заявление, появился дополнительный месяц; можно выдохнуть, но не настолько, чтобы снова всё отложить до последнего дня.

Форма подачи заявления останется открытой. После 1 июля Минцифры начнёт проверять поступившие заявки, а завершить эту процедуру планируется до 1 сентября 2026 года.

Решение о подтверждении аккредитации компания получит в личном кабинете на «Госуслугах».

Для тех, кто уже подал заявление, ничего не меняется: документы ушли — ждите результата. А вот если компания отправила заявку на всякий случай, но понимает, что требованиям пока не соответствует, стоит внимательно следить за сроками.

В случае отказа, который может прийти в течение 15 рабочих дней с даты подачи, ещё останется время внести корректировки и попробовать исправить ситуацию.

Тем, кто вообще не подавал заявление, дали последний спокойный коридор: проверить соответствие требованиям, собрать документы, навести порядок в показателях и успеть отправить заявку до 1 июля. После этого окно закроется, а дальше уже начнётся проверка.

Плановая процедура подтверждения ИТ-аккредитации важна для компаний, которые хотят сохранить право на отраслевые меры поддержки. Поэтому продление срока — хорошая новость для тех, кто не успевал, сомневался или внезапно понял, что в документах не всё так красиво, как хотелось бы.

Но расслабляться всё равно не стоит. Месяц — это не вечность, особенно если нужно не просто нажать кнопку, а привести компанию в соответствие требованиям.

Публичное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!