Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Шифровальщик предусматривает ручное управление, что может говорить о намерении использовать его для таргетированных атак.
Эксперты «Лаборатории Касперского» проанализировали образец нового шифровальщика, атакующего пользователей по всему миру. Зловред распространяется при помощи фейковых установщиков и содержит возможность ручного управления.
Всплеск активности трояна-вымогателя KeyPass ИБ-сообщество зафиксировало в начале августа. Жертвами вредоносной кампании стали пользователи из более чем 20 стран. На момент публикации исследования максимальное количество атак произошло в Бразилии (21,6% от общего числа попыток заражения) и Вьетнаме (16,2%). Также пострадали жители Индии, Шри-Ланки, Индонезии, Филиппин, Таиланда, Алжира, Кении, Франции, Германии и др. Как сообщают на форуме издания Bleeping Computer, в некоторых случаях зловред распространяется вместе с GandCrab.
После проникновения на устройство KeyPass копирует себя в %LocalAppData% и удаляется из первоначальной директории. Затем он создает несколько своих процессов и приступает к шифрованию данных. В отличие от большинства программ такого типа, зловред преобразует документы с любым расширением, обходя отдельные папки, прописанные в его коде, в частности системные директории и пути, по которым находятся браузеры.
В каждом файле троян шифрует приблизительно первые 5 МБ данных, а затем приписывает объекту расширение .KEYPASS. Так, изображение test.jpg на выходе превращается в test.jpg.KEYPASS. Зловред использует симметричный алгоритм шифрования AES-256 и кодирует все документы при помощи одного 32-битного ключа, который ему сообщает C&C‑сервер.
Если вымогатель не может связаться с сервером — например, компьютер жертвы отключен от Интернета, — вместо индивидуального ключа он применяет значение, прописанное в его коде. В этом случае расшифровать файлы не составляет труда.
В каждую папку KeyPass помещает TXT-файл с требованием выкупа. Чтобы вернуть свои документы, жертва должна прислать свой ID на email-адрес злоумышленников, указанный в записке. В ответ ей обещают сообщить дальнейшие инструкции — кому и в каком виде переводить деньги за декриптор и индивидуальный ключ дешифровки. Свои «услуги» мошенники оценивают в $300. Чтобы убедиться в том, что их ПО рабочее, жертва может бесплатно расшифровать от одного до трех небольших файлов.
Что любопытно, в интерфейсе трояна содержится скрытая форма, позволяющая вручную модифицировать его настройки, в частности:
Форма вызывается нажатием специальной кнопки на клавиатуре. Это может означать, что в перспективе авторы KeyPass собираются использовать его для таргетированных атак.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |