На базе вредоносного ПО Hidden Tear создано уже 24 шифровальщика

В конце января SecurityLab писал об исследователе из Турции Ютку Сене (Utku Sen), удалившем с GitHub проект с открытым исходным кодом Hidden Tear после шантажа со стороны создателя вымогательского ПО Magic. Судя по всему, эксперту стоило раньше изъять вредонос из открытого доступа. Как сообщили специалисты «Лаборатории Касперского», на базе вредоносного ПО работают уже 24 шифровальщика.

Один из вариантов Trojan-Ransom.MSIL.Tear.c шифрует только файлы, найденные на десктопных компьютерах. Второй образец Trojan-Ransom.MSIL.Tear.f известен как KryptoLocker. По словам экспертов, автор вредоноса не использовал C&C-сервер, заставляя жертв связываться с ним по электронной почте.

Не все версии, созданные на базе исходных кодов Сена, работают корректно. К примеру, варианты Trojan-Ransom.MSIL.Tear.n , Trojan-Ransom.MSIL.Tear.o, Trojan-Ransom.MSIL.Tear.p, Trojan-Ransom.MSIL.Tear.q просто шифруют файлы, но не хранят ключи и никуда их не отсылают.

Трояны версий от Trojan-Ransom.MSIL.Tear. r до Trojan-Ransom.MSIL.Tear.v работают почти одинаковым способом – вредоносы отправляют ключи шифрования на сервер example.com. По всей вероятности, вирусописатели забыли изменить в коде домен, оставив использовавшееся в качестве примера значение.

На сегодняшний день вышеуказанные трояны не получили широкого распространения и количество жертв, скорее всего, невелико, отмечают исследователи «Лаборатории Касперского».