Инструмент ЛК для восстановления зашифрованных CryptXXX файлов бессилен перед новой версией вымогателя

В настоящее время новые образцы вымогательского ПО появляются с завидной регулярностью, однако так же регулярно создаются инструменты для восстановления зашифрованных ими файлов без уплаты выкупа. Ярким примером является появившийся в прошлом месяце троян-шифровальщик CryptXXX. Всего через две недели с момента его обнаружения был создан инструмент для восстановления зашифрованным им файлов.

Тем не менее, по данным экспертов Proofpoint, предложенный «Лабораторией Касперского» RannohDecryptor не работает с последней версией CryptXXX. Версия 2.000 появилась 28 апреля, однако самая поздняя версия 2.006 была обнаружена исследователями 9 мая. По их словам, новая модификация CryptXXX претерпела ряд существенных изменений. Теперь вредонос блокирует экран и делает зараженный компьютер полностью бесполезным.

Согласно предположению экспертов, новая функция ПО блокирует экран, отображая страницу с требованием выкупа. Это может свидетельствовать о том, что компьютер регулярно подключается к C&C-серверу с целью проверить факт оплаты выкупа. Подобным функционалом обладает вредоносное ПО Reveton, создатели которого также ответственны за появление CryptXXX.

На первый взгляд функция блокировки экрана показалась исследователям попыткой злоумышленников затруднить использование разработанного ЛК инструмента. Однако более детальный анализ показал абсолютную бесполезность RannohDecryptor против CryptXXX 2.006.

Раньше имя файла, уведомляющего пользователей об инфицировании, было de_crypt_readme с расширением bmp, txt и html. Теперь имя файла представляет собой уникальный персональный идентификатор зараженного компьютера. Страница оплаты выкупа также претерпела незначительные изменения. Теперь вместо ПО для восстановления файлов, зашифрованных Cryptowall («Cryptowall Decrypter»), злоумышленники предлагают «Google Decrypter».