Вымогатель DetoxCrypto отправляет операторам скриншоты экрана компьютера жертвы

Вымогатель DetoxCrypto отправляет операторам скриншоты экрана компьютера жертвы

Предположительно, на основе информации скриншота злоумышленники устанавливают сумму выкупа.

Исследователи MalwareHunterTeam обнаружил новый вид вымогательского ПО, распространяемого в двух версиях, одна из которых способна делать скриншоты экрана компьютера жертвы и отправлять их на C&C-сервер злоумышленников. Вторая распространяется под видом приложений Pokémon GO, сообщает Bleeping Computer.

Оба варианта обладают функционалом, стандартным для вымогательского ПО. Вредоносы шифруют файлы при помощи алгоритма AES и способны остановить работу служб MySQL и MSSQL на инфицированном компьютере. Оказавшись на системе, оба трояна отображают уведомление о выкупе, одновременно запуская аудио.

Исследователю пока не удалось определить пути распространения вредоносного ПО. По его словам оба варианта содержат исполняемый файл, включающий несколько компонентов. После запуска из основного файла извлекаются файл MicrosoftHost.exe, аудиофайл, изображение заднего фона и исполняемый файл с названием в зависимости от варианта (Calipso.exe или Pokemon.exe).

MicrosoftHost.exe используется для шифрования контента и остановки процессов MySQL и MSSQL на инфицированном компьютере. Второй исполняемый файл может отображать уведомление о блокировке, воспроизводить аудиофайл и расшифровать зашифрованный контент, если жертва предоставит правильный пароль.

Основная особенность версии Calipso заключается в возможности делать снимки экрана и отправлять данные злоумышленникам. Как полагает эксперт, на основе информации скриншота операторы трояна устанавливают сумму выкупа.

Устали от того, что Интернет знает о вас все?

Присоединяйтесь к нам и станьте невидимыми!