Троян-шифровальщик PadCrypt позволяет в режиме реального времени общаться с вымогателями

image

Теги: вымогательское ПО, шифрование, чат

PadCrypt является первым образцом вымогательского ПО, оснащенным чатом и деинсталлятором.

Швейцарский исследователь безопасности, ведущий блог abuse.ch, обнаружил новый образец вымогательского ПО PadCrypt. Особенность шифровальщика – наличие чата, позволяющего жертве в режиме реального времени связаться с вымогателями и обсудить условия выплаты выкупа. Помимо «живого чата», требующего подключения к C&C-серверу, PadCrypt также оснащен совершенно бесполезным деинсталлятором.

«Недавно нам попались образцы вредоносного ПО, позволяющие активировать и деактивировать автозапуск, но с вымогателем, предлагающим еще и деинсталлятор, мы сталкиваемся впервые», - сообщил ИБ-эксперт компании Bleeping Computer Лоуренс Абрамс (Lawrence Abrams).

По словам исследователя, после запуска деинсталлятор удаляет уведомления с требованием выкупа, однако файлы по-прежнему остаются зашифрованными. PadCrypt распространяется с помощью спам-писем, содержащих вредоносный zip-архив. Заархивированный файл маскируется под PDF-документ с именем DPD_11394029384.pdf.scr, и после его выполнения на систему устанавливается вымогательское ПО.

После инсталляции PadCrypt сканирует локальные диски на наличие файлов doc, jpg, pdf, gif и пр. и шифрует их с помощью симметричного алгоритма блочного шифрования AES. Имена зашифрованных файлов сохраняются в текстовом документе, а их теневые копии удаляются. Установившись на системе, вредонос создает уведомление с требованием выкупа.

В настоящее время C&C-серверы annaflowersweb[.]com, subzone3[.]2fh[.]co и cloudnet[.]online отключены, и PadCrypt больше не представляет угрозу.   


или введите имя

CAPTCHA