Вымогатель DXXD меняет экран входа в Windows на требование о выкупе

В Сети появилось новое семейство вымогателей под названием DXXD, способным добавлять ключи в реестр Windows и менять экран входа на сообщение с требованием выкупа за восстановление зашифрованных файлов. Данное уведомление закрывается простым нажатием на кнопку «ОК», после чего пользователи могут авторизоваться в системе.

Первая версия вредоноса была обнаружена в конце сентября нынешнего года. Оказавшись на системе, программа шифрует файлы на компьютере, добавляя к ним расширение .dxxd. В начале октября исследователь Майкл Гиллеспи (Michael Gillespie) взломал алгоритм шифрования, используемый DXXD, и выпустил инструмент для восстановления зашифрованного вымогателем контента. Вслед за релизом утилиты автор DXXD создал вторую версию ПО - DXXD 2.0 с исправленным алгоритмом шифрования.

Вирусописатель также попытался сбить исследователей с толку утверждая, что инфицирование компьютеров жертв осуществляется при помощи RCE-эксплоита для уязвимости нулевого дня, присутствующей во всех версиях Windows, выпущенных в период с 1995 по 2016 годы. Однако по мнению основателя ресурса Bleeping Computer Лоуренса Абрамса (Lawrence Abrams), данное заявление не соответствует действительности, поскольку стоимость подобного эксплоита на черном рынке наверняка оценивалась бы в миллионы долларов, а сам инструмент мог бы использоваться для более серьезных атак, нежели для заражения низкопробным вымогательским ПО.

«Согласно полученной мной информации, я думаю, что разработчик вымогателя взламывает серверы, используя протокол удаленного рабочего стола (Remote Desktop Protocol) и подбирает пароли методом перебора», - отметил Абрамс, добавив, что жертвам DXXD стоит переустановить все пароли на инфицированном компьютере.