Поклонник триллера «Судная ночь» атакует жертв с помощью вымогательского ПО

image

Теги: вымогательское ПО, вредоносное ПО, шифрование

В отличие от других троянов-шифровальщиков Globe шифрует файлы с помощью алгоритма Blowfish, а не AES.

В последнее время как никогда раньше наблюдается взаимное проникновение поп-культуры в хакерскую – взять хотя бы появление новых троянов-шифровальщиков FSociety и Pockemon GO , названных в честь телесериала «Мистер Робот» и популярной игры с покемонами. Как сообщает Bleeping Computer, ИБ-эксперт xXToffeeXx обнаружил образец вымогательского ПО Globe, созданный, очевидно, поклонником американского триллера-антиутопии «Судная ночь» («The Purge»).

Globe действует точно так же, как большинство вымогателей. Попав на систему жертвы, вредонос шифрует файлы, добавляя расширение .purge, и выводит на экран уведомление с требованием выкупа. В качестве обоев используется постер «Судной ночи 3». Тем не менее, в отличие от других троянов-шифровальщиков Globe шифрует файлы с помощью алгоритма Blowfish , а не AES. Более того, вместо текста и HTML для уведомления с требованием выкупа используется HTML Application (HTA).

В настоящее время пока неизвестно, как вредонос попадает на компьютеры жертв. После установки на систему Globe проверяет, не запущена ли она в песочнице или на виртуальной машине, например, на Anubis, VirtualBox, VMware или Virtual PC. Обнаружив песочницу или виртуальную машину, вредонос прекращает дальнейшую активность, в противном случае приступает к шифрованию.

В процессе шифрования в папке с зашифрованными файлами вымогатель создает уведомление с требованием выкупа в виде HTA-документа (How to restore files.hta) и инициирует процесс автозапуска How to restore files, открывающий уведомление при каждом запуске Windows. В процессе шифрования Globe удаляет теневые копии и деактивирует функцию автоматического восстановления системы после неудачной загрузки (Startup Repair).

Завершив процесс, вымогатель открывает How to restore files.hta. Уведомление содержит уникальный идентификатор пользователя и контактные данные разработчика (электронный адрес powerbase@tutanota.com и адрес BM-2cUrKsazEKiamN9cZ17xQq9c5JpRpokca5 в мессенджере Bitmessage).

Поскольку предварительный анализ Globe не выявил каких-либо уязвимостей в шифровании, разработать инструмент, позволивший бы восстанавливать зашифрованные файлы без уплаты выкупа, пока не представляется возможным.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.