Шифровальщик Lilith записал на свой счет первую крупную жертву

Шифровальщик Lilith записал на свой счет первую крупную жертву

Шифровальщик Lilith записал на свой счет первую крупную жертву

Операторы нового шифровальщика создали сайт в сети Tor и используют схему двойного шантажа — грозят опубликовать украденные данные в случае неуплаты выкупа. Проведенный в Cyble анализ показал, что Lilith ничем не примечателен, кроме активного использования API Windows.

Как выяснили эксперты, объявившийся в начале текущего месяца зловред представляет собой консольное приложение. Вредоносный код написан на C/C++ и ориентирован на 64-битные версии Windows.

При исполнении Lilith пытается обеспечить себе максимально широкое поле деятельности — завершает процессы Outlook, SQL, Thunderbird, Steam, PowerPoint, WordPad, Firefox и далее по вшитому списку, чтобы высвободить файлы для шифрования. Вредонос также создает во всех целевых папках записку о выкупе Restore_Your_Files.txt.

Шифрование осуществляется с использованием связки AES+RSA, к имени обработанных файлов добавляется расширение .lilith. Исключение составляют EXE, DLL, SYS, папки Program Files, файлы браузеров и корзина. Примечательно, что в списке табу отдельной позицией указан ecdh_pub_k.bin — хранилище локального открытого ключа шифровальщиков на основе Babuk, исходники которого были слиты в Сеть в прошлом году.

 

Для генерации ключа шифрования Lilith использует функцию CryptGenRandom() штатного генератора псевдослучайных чисел Windows.

Согласно записке с требованием выкупа, жертве дают три дня для выхода на связь с вымогателями через Tox, в противном случае ее данные окажутся в паблике. На onion-сайте новоявленных вымогателей пока появилась одна такая запись, но ее уже сняли — видимо, жертва (строительный холдинг в Южной Америке) согласилась уплатить выкуп.

Уровень детектирования Lilith, по данным VirusTotal, достаточно высок — 55/70 на 14 июля. Прогнозировать дальнейшую судьбу вредоносного проекта пока рано, но и игнорировать новую угрозу, хотя и незамысловатую, нельзя. Последнее время вымогатели активно вооружаются, и профессиональные защитники еле успевают фиксировать новинки. Так, в этом месяце на интернет-арене, кроме Lilith, появился RedAlert; в мае армию шифровальщиков пополнили 0mega, Linux-зловред Cheers и нацеленный на QNAP NAS Checkmate.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В России уточнили порядок доступа к гостайне

Правительство уточнило порядок допуска к государственной тайне. Теперь сотрудников, утративших право на доступ к гостайне, будут отстранять от работы с соответствующими сведениями в день получения заключения о недопуске.

С новой редакцией документа ознакомился ТАСС. Ранее сроки отстранения граждан, которых решили лишить допуска, не были чётко определены. Теперь предлагается делать это в тот же день, когда получено соответствующее заключение.

Кроме того, уточнён порядок действий в случае появления оснований для недопуска сотрудника к государственной тайне.

К таким основаниям относятся: недееспособность, наличие медицинских противопоказаний, гражданство другого государства или постоянное проживание за границей самого сотрудника либо его ближайших родственников, включение в реестр иностранных агентов, действия, создающие угрозу безопасности РФ, уклонение от проверок, заведомо ложные сведения в анкете, а также нарушение законодательства о гостайне.

В этих случаях прекращение или переоформление допуска будет происходить незамедлительно. Ранее эта процедура занимала больше времени и была более сложной.

Также конкретизирован порядок принятия решений в отношении заместителей министров и руководителей ведомств, в отношении которых возникли основания для недопуска к гостайне.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru