Вымогатель Data Keeper доступен по RaaS и уже заразил первых жертв

Анна Козонина 26 Февраля 2018 - 13:58

...

Вымогатель Data Keeper доступен по RaaS и уже заразил первых жертв

В Dark Web появился новый криптовымогатель, работающий по принципу Ransomware-as-a-Service (RaaS), — Data Keeper. Он стал третьей программой, распространяющейся таким образом, после Saturn и GandCrab. Уже через два дня после того, как мошенники начали рекламировать Data Keeper, появились первые жертвы вредоносной программы.

Принцип Ransomware-as-a-Service облегчает распространение вирусов в сети. Создатели вредоноса выкладывают копию программы на сайт в Dark Web и предлагают всем желающим распространять ее без первоначального взноса за активацию учетной записи. Все, что нужно сделать, — зарегистрироваться на сайте, получить свою копию вируса, сгенерировать зараженные файлы и начать их распространение.

Если пользователь открывает зараженный файл, вредонос шифрует все данные с его компьютера и требует выкуп в биткоинах. Если жертва платит выкуп, партнер, сгенерировавший и отправивший файл, получает процент от выкупа. Например, создатели Saturn заявили, что распространители получат 70%. Команда Data Keeper открыто не говорит, сколько денег получат партнеры.

DataKeeper

По данным, предоставленным Beeping Computer экспертами MalwareHunterTeam, Data Keeper сделан довольно искусно и состоит из четырех слоев. Первый уровень — это файл EXE, который перенесет другой EXE в LocalAppData со случайным именем и расширением .bin, а затем запустит его с помощью параметров ProcessPriorityClass.BelowNormal и ProcessWindowStyle.Hidden. Этот второй файл EXE подгрузит файл DLL, который загрузит еще один DLL с вредоносом-шифровальщиком. Затем все слои защищаются с помощью ConfuserEx. По сравнению с другими вымогателями, Data Keeper имеет необычно высокий уровень защиты.

Кроме того, этот вымогатель не добавляет специального расширения к поврежденным файлам, поэтому жертвы не смогут увидеть, какие файлы зашифрованы, пока не попытаются открыть их все. В итоге пользователь не может вычислить, насколько серьезный ущерб нанесен компьютеру. RaaS также позволяет каждому партнеру выбирать типы файлов для таргетинга, то есть разные версии Data Keeper будут шифровать разные файлы.

Единственное, что увидит пользователь зараженного компьютера, — это файл "!!! ##### === ReadMe === ##### !!! .. htm", который вымогатель разместит в каждой папке с зашифрованными файлами.

DataKeeperPayment

Инфицированным пользователям предлагают пройти по ссылке в Tor, чтобы узнать, как заплатить выкуп и расшифровать файлы. Размеры оплаты варьируются от случая к случаю. Если вредонос заражает сеть компьютеров компании, выкуп придется заплатить за каждый компьютер в отдельности. Это может привести к огромным затратам для фирм, желающих вернуть зашифрованные файлы.

На прошлой неделе мы также писали про криптовымогатель Saturn, распространяющийся по принципу RaaS.

Следующая главная новость »

ИБ без ручного режима: как автоматизировать защиту в 2026?
Регистрируйтесь на эфир!

Екатерина Быстрова 25 Мая 2026 - 12:39

Мошенничество GenAI (генеративный искусственный интеллект)Дипфейк (Deepfake)Онлайн-мошенничество Домашние пользователи Защита от мошенничества

В России разработали бесплатный детектор для поиска дипфейков

Компания «Архитех ИИ» разработала инструмент KodikScan для проверки цифрового контента на признаки генерации или обработки с помощью искусственного интеллекта. Сервис будет доступен бесплатно и рассчитан на пользователей, журналистов, блогеров и редакции, которым нужно быстро понять, насколько материал похож на фейк.

KodikScan умеет анализировать изображения, видео, аудио и текст. Система ищет скрытые признаки ИИ-генерации: визуальные паттерны, структуру шума, динамику кадров в видео, особенности голоса в аудио и статистические закономерности в тексте.

После этого инструмент оценивает вероятность того, что контент был создан или изменён нейросетью.

По словам разработчика ИИ-среды Kodik Рафаэля Гильмурахманова, сервис задумывался как инструмент для цифровой гигиены. Он отметил, что фейковый контент всё чаще используют в мошеннических схемах: например, злоумышленники могут присылать «кружочки» или видеосообщения якобы от знакомых с просьбой перейти по ссылке или перевести деньги.

Для обычных пользователей такая проверка может стать способом не повестись на подделку. Для СМИ и авторов пабликов — дополнительным фильтром перед публикацией спорных материалов. Особенно это актуально на фоне обсуждения инициатив по превентивной блокировке резонансных дипфейков до проверки их достоверности.

Разработчики также планируют предоставить KodikScan журналистам российских СМИ для тестирования в рабочих задачах. Воспользоваться сервисом может любой желающий на сайте scan.kodik.ru: достаточно загрузить файл и получить оценку вероятности применения ИИ.

По данным «Архитех ИИ», на тестах инструмент определял признаки генерации искусственным интеллектом с точностью 98,03%. При этом, как и с любыми подобными системами, результат стоит воспринимать не как окончательный приговор, а как подсказку: если сервис видит признаки ИИ, материал точно стоит проверить внимательнее.

ИБ без ручного режима: как автоматизировать защиту в 2026?
Регистрируйтесь на эфир!