Новый вымогатель KeyPass атакует пользователей по всему миру

Шифровальщик предусматривает ручное управление, что может говорить о намерении использовать его для таргетированных атак.

Эксперты «Лаборатории Касперского» проанализировали образец нового шифровальщика, атакующего пользователей по всему миру. Зловред распространяется при помощи фейковых установщиков и содержит возможность ручного управления.

Всплеск активности трояна-вымогателя KeyPass ИБ-сообщество зафиксировало в начале августа. Жертвами вредоносной кампании стали пользователи из более чем 20 стран. На момент публикации исследования максимальное количество атак произошло в Бразилии (21,6% от общего числа попыток заражения) и Вьетнаме (16,2%). Также пострадали жители Индии, Шри-Ланки, Индонезии, Филиппин, Таиланда, Алжира, Кении, Франции, Германии и др. Как сообщают на форуме издания Bleeping Computer, в некоторых случаях зловред распространяется вместе с GandCrab.

После проникновения на устройство KeyPass копирует себя в %LocalAppData% и удаляется из первоначальной директории. Затем он создает несколько своих процессов и приступает к шифрованию данных. В отличие от большинства программ такого типа, зловред преобразует документы с любым расширением, обходя отдельные папки, прописанные в его коде, в частности системные директории и пути, по которым находятся браузеры.

В каждом файле троян шифрует приблизительно первые 5 МБ данных, а затем приписывает объекту расширение .KEYPASS. Так, изображение test.jpg на выходе превращается в test.jpg.KEYPASS. Зловред использует симметричный алгоритм шифрования AES-256 и кодирует все документы при помощи одного 32-битного ключа, который ему сообщает C&C‑сервер.

Если вымогатель не может связаться с сервером — например, компьютер жертвы отключен от Интернета, — вместо индивидуального ключа он применяет значение, прописанное в его коде. В этом случае расшифровать файлы не составляет труда.

В каждую папку KeyPass помещает TXT-файл с требованием выкупа. Чтобы вернуть свои документы, жертва должна прислать свой ID на email-адрес злоумышленников, указанный в записке. В ответ ей обещают сообщить дальнейшие инструкции — кому и в каком виде переводить деньги за декриптор и индивидуальный ключ дешифровки. Свои «услуги» мошенники оценивают в $300. Чтобы убедиться в том, что их ПО рабочее, жертва может бесплатно расшифровать от одного до трех небольших файлов.

Что любопытно, в интерфейсе трояна содержится скрытая форма, позволяющая вручную модифицировать его настройки, в частности:

• ключ шифрования;
• название и содержание требования выкупа;
• ID жертвы;
• расширение зашифрованных файлов;
• список директорий, которые обходит зловред.

Форма вызывается нажатием специальной кнопки на клавиатуре. Это может означать, что в перспективе авторы KeyPass собираются использовать его для таргетированных атак.

Ваш голос учтён!

нравится

не нравится

Рейтинг:

0

Всего голосов: 0

Новые материалы в Разное:

RuStore открыл доступ иностранным разработчикам   // 08 февраля

CISA опубликовало декриптор в помощь жертвам шифровальщика ESXiArgs   // 08 февраля

Google обещает блюрить непристойные и жестокие картинки поиска   // 08 февраля

Бизнес предлагает продавать алкоголь по 2FA   // 08 февраля