Вымогатель Data Keeper доступен по RaaS и уже заразил первых жертв

Анна Козонина 26 Февраля 2018 - 13:58

...

Вымогатель Data Keeper доступен по RaaS и уже заразил первых жертв

В Dark Web появился новый криптовымогатель, работающий по принципу Ransomware-as-a-Service (RaaS), — Data Keeper. Он стал третьей программой, распространяющейся таким образом, после Saturn и GandCrab. Уже через два дня после того, как мошенники начали рекламировать Data Keeper, появились первые жертвы вредоносной программы.

Принцип Ransomware-as-a-Service облегчает распространение вирусов в сети. Создатели вредоноса выкладывают копию программы на сайт в Dark Web и предлагают всем желающим распространять ее без первоначального взноса за активацию учетной записи. Все, что нужно сделать, — зарегистрироваться на сайте, получить свою копию вируса, сгенерировать зараженные файлы и начать их распространение.

Если пользователь открывает зараженный файл, вредонос шифрует все данные с его компьютера и требует выкуп в биткоинах. Если жертва платит выкуп, партнер, сгенерировавший и отправивший файл, получает процент от выкупа. Например, создатели Saturn заявили, что распространители получат 70%. Команда Data Keeper открыто не говорит, сколько денег получат партнеры.

DataKeeper

По данным, предоставленным Beeping Computer экспертами MalwareHunterTeam, Data Keeper сделан довольно искусно и состоит из четырех слоев. Первый уровень — это файл EXE, который перенесет другой EXE в LocalAppData со случайным именем и расширением .bin, а затем запустит его с помощью параметров ProcessPriorityClass.BelowNormal и ProcessWindowStyle.Hidden. Этот второй файл EXE подгрузит файл DLL, который загрузит еще один DLL с вредоносом-шифровальщиком. Затем все слои защищаются с помощью ConfuserEx. По сравнению с другими вымогателями, Data Keeper имеет необычно высокий уровень защиты.

Кроме того, этот вымогатель не добавляет специального расширения к поврежденным файлам, поэтому жертвы не смогут увидеть, какие файлы зашифрованы, пока не попытаются открыть их все. В итоге пользователь не может вычислить, насколько серьезный ущерб нанесен компьютеру. RaaS также позволяет каждому партнеру выбирать типы файлов для таргетинга, то есть разные версии Data Keeper будут шифровать разные файлы.

Единственное, что увидит пользователь зараженного компьютера, — это файл "!!! ##### === ReadMe === ##### !!! .. htm", который вымогатель разместит в каждой папке с зашифрованными файлами.

DataKeeperPayment

Инфицированным пользователям предлагают пройти по ссылке в Tor, чтобы узнать, как заплатить выкуп и расшифровать файлы. Размеры оплаты варьируются от случая к случаю. Если вредонос заражает сеть компьютеров компании, выкуп придется заплатить за каждый компьютер в отдельности. Это может привести к огромным затратам для фирм, желающих вернуть зашифрованные файлы.

На прошлой неделе мы также писали про криптовымогатель Saturn, распространяющийся по принципу RaaS.

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Олег Иванов 11 Декабря 2019 - 08:31

McAfee Total Protection Корпорации McAfee Symantec

McAfee планирует купить NortonLifeLock (бывший Symantec)

В ноябре производителя антивирусных решений Symantec купил Broadcom, после чего бренд переименовали в NortonLifeLock, однако под таким названием компания может просуществовать совсем недолго. Все дело в том, что McAfee рассматривает возможность покупки конкурента.

Как сообщает издание The Wall Street Journal, NortonLifeLock разрабатывает защитные продукты для отдельных потребителей и малого бизнеса. С недавних пор под брендом LifeLock компания начала выпускать решения для защиты личных данных.

В свою очередь, McAfee предлагает продукты для отдельных клиентов и корпораций. На сегодняшний день антивирусная компания больше сосредоточена на традиционных защитных комплексах.

Помимо McAfee, NortonLifeLock хотят приобрести ещё две компании: Permira и Advent. Однако последним в своё время было отказано, поскольку на тот момент Broadcom был в процессе покупки бренда Symantec и его корпоративного бизнеса.

На данный момент NortonLifeLock оценивается в $16 миллиардов. Если McAfee и инициирует покупку компании, то уже точно в следующем году, поскольку сейчас половина руководителей будет отсутствовать из-за ежегодного собрания, запланированного на 19 декабря.

Эксперты предполагают, что McAfee в случае приобретения NortonLifeLock интегрирует сервисы мониторинга и решения для защиты личных данных в свой комплект Total Protection. В этом случае непонятно, что же станет с конкурирующими продуктами Norton 360.

Напомним, что в ноябре Broadcom объявил о приобретении Symantec, сумма сделки составила $10,7 миллиардов. Теперь бренд Symantec принадлежит Broadcom.