Вымогатель StalinLocker отображает жертве Сталина и удаляет все файлы

Вымогатель StalinLocker отображает жертве Сталина и удаляет все файлы

Вымогатель StalinLocker отображает жертве Сталина и удаляет все файлы

Эксперты обнаружили новый вымогатель-вайпер, который отображает жертве Сталина и воспроизводит гимн СССР. Вредонос также дает пользователю 10 минут, показывая обратный отсчет, в течение которых жертве нужно ввести правильный код. Если код не будет введен, вымогатель попытается удалить содержимое всех дисков на компьютере.

Вредоносная программа получила имя StalinLocker или StalinScreamer, после запуска она выполняет следующие шаги:

  • Извлекает файл USSR_Anthem.mp3 в каталог %UserProfile%\AppData\Local и воспроизводит его. Гимн практически идентичен тому, что размещен на YouTube, однако качество гораздо хуже.
  • Копирует себя как %UserProfile%\AppData\Local\stalin.exe и создает пункт автозапуска под названием «Stalin», который запускает блокировку экрана и вайпер при входе пользователя.
  • Создает файл %UserProfile%\AppData\Local\fl.dat, в который записывает значение — текущее количество секунд, разделенное на 3. Таким образом, каждый раз при запуске обратный отсчет будет значительно меньше.
  • Пытается завершить процессы Explorer.exe, taskmgr.exe и другие, кроме Skype или Discord.
  • Пытается создать запланированную задачу под названием «Driver Update», которая будет запускать Stalin.exe — отвечающий за эту часть код в настоящее время выдает ошибки.

После выполнения всех этих шагов StalinLocker отображает экран блокировки с 10-минутным обратным отсчетом. Либо вы введете правильный код, либо ваши файлы будут полностью удалены. Специалистам удалось высчитать, что этот код генерируется путем вычитания из текущей даты (когда вайпер был запущен) дату 1922.12.30.

Если пользователь ведет правильный код, вайпер завершит работу и удалит пункт автозапуска.

Если же пользователь не введет нужный код, вредоносная программа попытается удалить все файлы, найденные на всех дисках, подключенных к компьютеру. Для этого вымогатель будет перебирать в алфавитном порядке буквы, которые назначаются дискам: от A до Z.

Этот вредонос данный момент все еще находится в разработке, но злоумышленники могут легко его доработать. К счастью, большинство антивирусных продуктов детектируют этот вымогатель.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Борзохакеры Scattered LAPSUS$ Hunters 4.0 заявили, что отходят от дел

В телеграм-канале криминальной группировки Scattered LAPSUS$ Hunters 4.0 появилось неожиданное известие — прощальный привет с отсылкой к заявлению на хакерском форуме, в котором озвучено решение свернуть операции.

Насколько известно, в состав Scattered LAPSUS$ Hunters 4.0 входят бывшие участники Scattered Spider, LAPSUS$ и ShinyHunters — отсюда и столь причудливое название.

Дерзкие налетчики и бахвалы не объявлялись в Telegram трое суток, их фанатам оставалось только гадать о причинах столь долгого молчания. Заявление на BreachForums прояснило ситуацию: взяв паузу, авторы громких атак, по их словам, посоветовались с близкими и окончательно утвердились в намерении уйти в тень.

В постинге также сказано, что нашумевшие нападения на Salesforce, CrowdStrike, Google, производственные мощности Jaguar Land Rover, американские, французские и британские авиакомпании — лишь дымовая завеса, помогающая отвлечь всеобщее внимание от истинных целей кибергруппы.

Заявив об этом, хакеры не преминули лишний раз подразнить ФБР и ИБ-экспертов, упрекнув их в близорукости и тщеславии. По их утверждению, аресты по итогам расследований зачастую были ошибочными: они умышленно подставляли сторонних людей, но так, чтобы это не имело серьезных последствий.

Лес рубят — щепки летят, спецслужбы прекрасно знают эту пословицу, хотя родственников без вины виноватых автору поста искренне жаль (по крайне мере, так сказано). Вместе с тем он подчеркнул: многие инциденты еще не раскрыты, однако спасать козлов отпущения LAPSUS$ Hunters больше не будут.

В пространном заявлении встречаются и философские сентенции, которые могут говорить о том, что печально известные хвастуны и киберхулиганы, наконец, остепенились. Например, такие:

«Таланта и мастерства в наше время недостаточно, миром правят те, принимает решения и имеет власть».

В заключение LAPSUS$ Hunters пишут: их цели достигнуты, пришло время попрощаться. Накопленных миллионов достаточно, чтобы утешить самых недалеких соратников, остальные продолжат изучать и совершенствовать техническое наследие либо просто уйдут на покой.

Что это, действительно прощальный привет или очередная дымовая завеса, на сей раз в духе exit scam, покажет будущее.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru