Вымогатель StalinLocker отображает жертве Сталина и удаляет все файлы

Вымогатель StalinLocker отображает жертве Сталина и удаляет все файлы

Вымогатель StalinLocker отображает жертве Сталина и удаляет все файлы

Эксперты обнаружили новый вымогатель-вайпер, который отображает жертве Сталина и воспроизводит гимн СССР. Вредонос также дает пользователю 10 минут, показывая обратный отсчет, в течение которых жертве нужно ввести правильный код. Если код не будет введен, вымогатель попытается удалить содержимое всех дисков на компьютере.

Вредоносная программа получила имя StalinLocker или StalinScreamer, после запуска она выполняет следующие шаги:

  • Извлекает файл USSR_Anthem.mp3 в каталог %UserProfile%\AppData\Local и воспроизводит его. Гимн практически идентичен тому, что размещен на YouTube, однако качество гораздо хуже.
  • Копирует себя как %UserProfile%\AppData\Local\stalin.exe и создает пункт автозапуска под названием «Stalin», который запускает блокировку экрана и вайпер при входе пользователя.
  • Создает файл %UserProfile%\AppData\Local\fl.dat, в который записывает значение — текущее количество секунд, разделенное на 3. Таким образом, каждый раз при запуске обратный отсчет будет значительно меньше.
  • Пытается завершить процессы Explorer.exe, taskmgr.exe и другие, кроме Skype или Discord.
  • Пытается создать запланированную задачу под названием «Driver Update», которая будет запускать Stalin.exe — отвечающий за эту часть код в настоящее время выдает ошибки.

После выполнения всех этих шагов StalinLocker отображает экран блокировки с 10-минутным обратным отсчетом. Либо вы введете правильный код, либо ваши файлы будут полностью удалены. Специалистам удалось высчитать, что этот код генерируется путем вычитания из текущей даты (когда вайпер был запущен) дату 1922.12.30.

Если пользователь ведет правильный код, вайпер завершит работу и удалит пункт автозапуска.

Если же пользователь не введет нужный код, вредоносная программа попытается удалить все файлы, найденные на всех дисках, подключенных к компьютеру. Для этого вымогатель будет перебирать в алфавитном порядке буквы, которые назначаются дискам: от A до Z.

Этот вредонос данный момент все еще находится в разработке, но злоумышленники могут легко его доработать. К счастью, большинство антивирусных продуктов детектируют этот вымогатель.

Банки и операторы заплатят за ошибки, которые помогли мошенникам

Россиянам могут начать возвращать деньги, переведённые телефонным мошенникам, если преступление стало возможным из-за нарушений банка или оператора связи. Процедуру компенсаций прописали в проектах постановлений к пакету «Антифрод 2.0».

Схема такая: пострадавший обращается в банк и сообщает, что отправил деньги под влиянием мошенников. Банк проверяет, должен ли был распознать подозрительную операцию и остановить перевод. Если пропустил, возмещает ущерб сам.

Если банк всё сделал правильно, заявление отправят оператору связи. Тот должен выяснить, мог ли вовремя обнаружить мошеннический номер и заблокировать его. Если ошибка была на стороне оператора, платить придётся ему.

При положительном решении деньги должны вернуть в течение 30 дней. Для трансграничных переводов срок увеличивается до 60 дней. Лимитов по размеру компенсации в финальной версии не предусмотрено.

Но автоматической страховки от любой доверчивости не будет. Если и банк, и оператор выполнили все требования, а клиент всё равно сам передал код, пароль или перевёл деньги, компенсация ему не положена.

Параллельно власти дорабатывают систему «Антифрод». Банки, операторы и ведомства будут автоматически обмениваться данными о подозрительных номерах.

В базу могут попадать телефоны, с которых рассылают фальшивые сообщения от имени «Госуслуг» или ведут незаконные массовые обзвоны. Для ошибочно внесённых номеров предусмотрят процедуру удаления.

RSS: Новости на портале Anti-Malware.ru