Новый вредонос с отсылкой к Ryuk ищет финансовые и военные документы

Новый вредонос с отсылкой к Ryuk ищет финансовые и военные документы

На просторах Сети был найден новый образец вредоносной программы, который эксперты связывают со знаменитым вымогателем Ryuk. Зловред ищет и крадет конфиденциальные файлы, принадлежащие компаниям в финансовой, военной и правоохранительной сферах.

По словам команды MalwareHunterTeam, обнаруженный семпл ищет важные закрытые файлы, после чего загружает их на FTP-сервер, находящийся под контролем киберпреступников.

Известно, что Ryuk не крадет данные, так почему же эксперты связали два вредоноса? Дело в том, что в коде новой вредоносной программы есть отсылки к вымогателю.

Подробно о принципе работы обнаруженного недавно образца рассказал специалист в области кибербезопасности Виталий Кремец. После запуска вредонос выполняет рекурсивное сканирование файлов в формате Word (.docx) и Excel (.xlsx).

Если а процессе поиска программа натыкается на определённые пути к файлам, она прерывает поиск в этом месте и переходит к следующей директории — этот алгоритм очень похож на работу вымогателя. Вредонос игнорирует папки вроде «Windows», «Intel», «Mozilla», «Public».

Помимо этого, пропускаются файлы, связанные с Ryuk: «RyukReadMe.txt» или с расширением «.RYK».

Автор нового зловреда, очевидно, охотится за военными секретами, банковскими данными, документами следователей и другой важной информацией.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

WannaCry по сей день заражает пользователей, а те платят выкуп

Более двух лет прошло с момента мощной атаки вымогателя WannaCry, но некоторые пользователи до сих пор умудряются попасться на крючок этой вредоносной программы. Хуже всего в этой ситуации тот факт, что пострадавшие пытаются заплатить злоумышленникам выкуп.

Даже в период первоначальной вспышки WannaCry оплата требуемого выкупа абсолютно ничего не решала. Тем более странно выглядит сегодняшняя ситуация, когда жертвы продолжают платить вымогателям.

Согласно отчёту компании Sophos, новые поступления на счета преступников легко отследить, так как связанные биткоин-аккаунты до сих пор активны. Сами переводы обезличены, однако трансакции общедоступны, что позволяет просмотреть статистику переводов.

Таким образом, сложившаяся ситуация доказывает, что WannaCry по сей день представляет угрозу и может создать определённые проблемы для невнимательных пользователей.

Эксперты ещё раз пытаются как можно доходчивее объяснить: оплата выкупа не вернёт ваши файлы, заплатив, вы лишь потеряете деньги, а взамен не подучите ровным счётом ничего.

Помимо этого, случаи заражения этой программой-вымогателем доказывают, что многие пользователи не установили патчи, устраняющие уязвимость EternalBlue.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru