SyncCrypt использует стеганографию для обхода обнаружения антивирусами

image

Теги: вымогательское ПО, спам, SyncCrypt

Новый вид вымогательского ПО, известный как SyncCrypt скрывает свои компоненты в файлах, выглядящих как безобидные изображения.

Обнаруженный недавно новый вид вымогательского ПО SyncCrypt, распространяется по почте в виде спама. К нему прилагается вложеный файл в формате WSF, выглядящий как судебная повестка.

После запуска вложенного файла, встроенный JScript обращается к внешнему сайту и загружает на систему жертвы несколько изображений. Компоненты вредоносного ПО скрыты внутри изображений в виде ZIP-архивов. JScript извлекает из архива следующие файлы: sync.exe, readme.html, и andreadme.png.

«Если пользователь просто откроет один из этих URL-адресов изображений напрямую, он увидит просто обложку альбома “& They Have Escaped the Weight of Darkness” исландского певца Олафура Арнальдса», - говорится в анализе  Bleepingcomputer.

Файл WSF также создает системную задачу Windows под названием Sync, которая начинает сканирование зараженной системы на предмет файлов определенного типа и шифрует их с помощью алгоритма AES.

SyncCrypt использует встроенный публичный ключ RSA-4096 для последующего шифрования ключа AES.

Программа-вымогатель нацелена на более чем 350 типов файлов и после шифрования добавляет к ним расширение .kk. Исследователь также отметил, что программа пропускает файлы, расположенные в определённых папках, в том числе:

windows\
program files (x86)\
program files\
programdata\
winnt\
\system volume information\
\desktop\readme\
\$recycle.bin\

Программа требует выкуп в размере $429 за дешифрование файлов. После осуществления оплаты, для получения дешифратора жертва должна отправить электронное письмо с файлом ключа на один  из следующих адресов: getmyfiles@keemail.me, getmyfiles@scryptmail.com или getmyfiles@Mail2tor.com.

По данным VirusTotal, лишь один из 58 антивирусов смог выявить угрозу.

К сожалению, на данный момент нет способа бесплатно дешифровать файлы, зашифрованные SyncCrypt.

 

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

comments powered by Disqus