Замаскированный под PayPal сайт распространяет вымогатель Nemty

Веб-страница, замаскированная под официальный сайт PayPal, в настоящее время распространяет программу-вымогатель Nemty. Любой невнимательный пользователь, зашедший на эту страницу, рискует заразить компьютер этим зловредом.

Эксперты полагают, что операторы Nemty пробуют различные каналы распространения своей программы. Чтобы установить ее в системе жертвы, злоумышленники используют набор эксплойтов RIG.

Фейковая страница PayPal завлекает пользователей возможностью получить возврат 3-5% от покупок, сделанных через эту систему.

Большинство популярных браузеров предупреждают пользователя о подозрительном ресурсе, однако люди все равно попадаются на уловку. В процессе атаки на компьютер жертвы загружается файл с именем cashback.exe.

Специалист в области кибербезопасности, известный под псевдонимом nao_sec, обнаружил этот канал распространения вымогателя, после чего использовал среду для тестирования AnyRun, чтобы проанализировать активность вредоноса в системе.

Анализ показал, что вымогателю требуется всего около семи минут на весь процесс шифрования файлов. Однако этот показатель может незначительно отличаться от системы к системе.

К счастью, исполняемый файл шифровальщика детектирует большинство антивирусов. Судя по результатам VirusTotal, 36 из 68 антивирусов выявили угрозу.