Новый вид вымогательского ПО, известный как SyncCrypt скрывает свои компоненты в файлах, выглядящих как безобидные изображения.
Обнаруженный недавно новый вид вымогательского ПО SyncCrypt, распространяется по почте в виде спама. К нему прилагается вложеный файл в формате WSF, выглядящий как судебная повестка.
После запуска вложенного файла, встроенный JScript обращается к внешнему сайту и загружает на систему жертвы несколько изображений. Компоненты вредоносного ПО скрыты внутри изображений в виде ZIP-архивов. JScript извлекает из архива следующие файлы: sync.exe, readme.html, и andreadme.png.
«Если пользователь просто откроет один из этих URL-адресов изображений напрямую, он увидит просто обложку альбома “& They Have Escaped the Weight of Darkness” исландского певца Олафура Арнальдса», - говорится в анализе Bleepingcomputer.
Файл WSF также создает системную задачу Windows под названием Sync, которая начинает сканирование зараженной системы на предмет файлов определенного типа и шифрует их с помощью алгоритма AES.
SyncCrypt использует встроенный публичный ключ RSA-4096 для последующего шифрования ключа AES.
Программа-вымогатель нацелена на более чем 350 типов файлов и после шифрования добавляет к ним расширение .kk. Исследователь также отметил, что программа пропускает файлы, расположенные в определённых папках, в том числе:
windows\
program files (x86)\
program files\
programdata\
winnt\
\system volume information\
\desktop\readme\
\$recycle.bin\
Программа требует выкуп в размере $429 за дешифрование файлов. После осуществления оплаты, для получения дешифратора жертва должна отправить электронное письмо с файлом ключа на один из следующих адресов: getmyfiles@keemail.me, getmyfiles@scryptmail.com или getmyfiles@Mail2tor.com.
По данным VirusTotal, лишь один из 58 антивирусов смог выявить угрозу.
К сожалению, на данный момент нет способа бесплатно дешифровать файлы, зашифрованные SyncCrypt.