PadCrypt является первым образцом вымогательского ПО, оснащенным чатом и деинсталлятором.
Швейцарский исследователь безопасности, ведущий блог abuse.ch, обнаружил новый образец вымогательского ПО PadCrypt. Особенность шифровальщика – наличие чата, позволяющего жертве в режиме реального времени связаться с вымогателями и обсудить условия выплаты выкупа. Помимо «живого чата», требующего подключения к C&C-серверу, PadCrypt также оснащен совершенно бесполезным деинсталлятором.
«Недавно нам попались образцы вредоносного ПО, позволяющие активировать и деактивировать автозапуск, но с вымогателем, предлагающим еще и деинсталлятор, мы сталкиваемся впервые», - сообщил ИБ-эксперт компании Bleeping Computer Лоуренс Абрамс (Lawrence Abrams).
По словам исследователя, после запуска деинсталлятор удаляет уведомления с требованием выкупа, однако файлы по-прежнему остаются зашифрованными. PadCrypt распространяется с помощью спам-писем, содержащих вредоносный zip-архив. Заархивированный файл маскируется под PDF-документ с именем DPD_11394029384.pdf.scr, и после его выполнения на систему устанавливается вымогательское ПО.
После инсталляции PadCrypt сканирует локальные диски на наличие файлов doc, jpg, pdf, gif и пр. и шифрует их с помощью симметричного алгоритма блочного шифрования AES. Имена зашифрованных файлов сохраняются в текстовом документе, а их теневые копии удаляются. Установившись на системе, вредонос создает уведомление с требованием выкупа.
Источник
Швейцарский исследователь безопасности, ведущий блог abuse.ch, обнаружил новый образец вымогательского ПО PadCrypt. Особенность шифровальщика – наличие чата, позволяющего жертве в режиме реального времени связаться с вымогателями и обсудить условия выплаты выкупа. Помимо «живого чата», требующего подключения к C&C-серверу, PadCrypt также оснащен совершенно бесполезным деинсталлятором.
«Недавно нам попались образцы вредоносного ПО, позволяющие активировать и деактивировать автозапуск, но с вымогателем, предлагающим еще и деинсталлятор, мы сталкиваемся впервые», - сообщил ИБ-эксперт компании Bleeping Computer Лоуренс Абрамс (Lawrence Abrams).
По словам исследователя, после запуска деинсталлятор удаляет уведомления с требованием выкупа, однако файлы по-прежнему остаются зашифрованными. PadCrypt распространяется с помощью спам-писем, содержащих вредоносный zip-архив. Заархивированный файл маскируется под PDF-документ с именем DPD_11394029384.pdf.scr, и после его выполнения на систему устанавливается вымогательское ПО.
После инсталляции PadCrypt сканирует локальные диски на наличие файлов doc, jpg, pdf, gif и пр. и шифрует их с помощью симметричного алгоритма блочного шифрования AES. Имена зашифрованных файлов сохраняются в текстовом документе, а их теневые копии удаляются. Установившись на системе, вредонос создает уведомление с требованием выкупа.
Источник
