Новый вымогатель CryptXXX способен похищать биткойны и личные данные пользователей

image

Теги: вымогательское ПО, шифрование, выкуп

Для распространения CryptXXX злоумышленники используют набор эксплоитов Angler.

Исследователи компании Proofpoint обнаружили новый вид вымогательского ПО с довольно интересным функционалом. Помимо шифрования файлов на инфицированном компьютере, CryptXXX способен похищать биткойны, пароли и другую важную информацию. За восстановление доступа к данным операторы вредоноса требуют выкуп в размере 1,2 биткойна (приблизительно $515).

Для распространения CryptXXX злоумышленники используют набор эксплоитов Angler, в частности вредоносное ПО Bedep, способное загружать других троянов на зараженные системы и инициировать мошеннические клики.

Помимо шифрования контента, CryptXXX собирает данные об установленных на компьютере приложениях для мгновенного обмена сообщениями, почтовых клиентах, FTP-менеджерах и браузерах. Вредонос также может похищать биткойны и учетные данные жертвы. По словам экспертов Proofpoint, некоторые признаки указывают на то, что авторство CryptXXX принадлежит создателям эксплоит-кита Angler, вредоносного ПО Bedep и Reveton.

CryptXXX – не единственный новый вымогатель, обнаруженный за последнее время. К примеру, исследователи компании CheckPoint сообщили о появлении новой версии трояна Kovter, способной шифровать файлы на целевом устройстве. По словам экспертов, троян обфусцирует только первую часть файлов. Вредонос быстро зашифровывает большинство интересных ему документов. Поскольку ключ шифрования хранится локально на устройстве, доступ к файлам легко восстановить.

Исследователь компании Emsisoft Фабиан Восар (Fabian Wosar) обнаружил новое вымогательское ПО AutoLocky, имитирующее известный вредонос Locky. Программа написана на языке AutoIt и не настолько сложна, как оригинальный Locky. В частности AutoLocky не использует C&C-инфраструктуру для осуществления обмена ключами в памяти до шифрования файлов. В настоящее время метод распространения вредоноса неизвестен.

Оказавшись на системе, AutoLocky изучает хранящиеся на дисках данные, а затем шифрует их, используя алгоритм AES-128. Вредонос добавляет расширение .locky к файлам на системе, однако в отличие от настоящего Locky не меняет их имена. Фабиан Восар уже разработал инструмент, позволяющий восстановить зашифрованный AutoLocky контент.

 

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.