Злые фанаты «Во все тяжкие» инфицируют компьютеры австралийских пользователей

image

Теги: криптовымогатель, вредоносное ПО, злоумышленник, Австралия

Часть адреса электронной почты злоумышленников состоит из цитаты главного героя «Во все тяжкие» Уолтера Уайта.

Исследователи из Symantec обнаружили новый криптовымогатель Trojan.Cryptolocker.S, который инфицирует компьютеры австралийских пользователей. Вредоносное ПО шифрует изображения, видео и другие важные документы на зараженном устройстве и требует у жертвы AUS$1000 (около 40 тысяч рублей) за расшифровку файлов. Эксперты из Symantec сообщили, что злоумышленники эксплуатируют в кибератаке тему, стилизованную под известный сериал «Во все тяжкие» (Breaking Bad).

Авторы вредоносного ПО отправляют требование о выкупе, используя картинку с изображением билборда с брендом «Los Pollos Hermanos» из сериала. Наряду с этим, часть адреса электронной почты злоумышленников состоит из цитаты главного героя «Во все тяжкие» Уолтера Уайта – «Я тот, кто стучит».

ИБ-эксперты считают, что мошенники эксплуатируют в кибератаках методы социальной инженерии. Вредоносное ПО поступает через Zip-архив, который использует название крупной курьерской фирмы в имени файла. Zip-архив содержит вредоносный файл под названием PENALTY.VBS (VBS.Downloader.Trojan), которые при выполнении загружает криптовымогатель на компьютер жертвы. Вредонос также загружает и открывает настоящий PDF-файл для того, чтобы обмануть жертву и заставить ее думать, что Zip-архив не содержит вирусы.

Согласно предположениям специалистов из Symantec, злоумышленники эксплуатируют в кибератаке методы, похожие на те, которые используются в тестировании на проникновение с помощью модулей Microsoft PowerShell. Мошенники могут запустить на инфицированном компьютере собственный сценарий PowerShell для работы с криптовымогателем.

Вредоносное ПО шифрует файлы, используя случайный ключ продвинутого стандарта шифрования (Advanced Encryption Standard, AES). Ключ кодируется с помощью открытого ключа RSA, так что жертвы могут расшифровать свои файлы только после получения секретного ключа от злоумышленников.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.