Обнаружен новый вымогатель, способный обходить UAC
Вредоносное ПО Erebus требует 0,085 биткойна за восстановление файлов.
Исследователь безопасности MalwareHunterTeam обнаружил потенциально новое семейство вымогательского ПО под названием Erebus, обладающее рядом интересных функций. В минувшем году эксперты TrendMicro сообщили о появлении крипто-вымогателя с аналогичным названием, однако несколько различий свидетельствуют о том, что в данном случае речь может идти о переработанной версии Erebus либо о совершенно новом вымогателе под таким же названием.
В настоящее время метод распространения Erebus неизвестен. Вредоносная программа обладает рядом особенностей, в числе которых способность обхода механизма UAC (Контроль учетных записей) для повышения прав на системе и чрезвычайно низкая сумма выкупа в размере 0,085 биткойна (порядка $90) за восстановление зашифрованных файлов.
Метод обхода UAC заключается в следующем. Вредонос копирует себя в системную папку как файл со случайным именем и затем вносит изменения в реестр Windows с целью подмены ассоциации для файлового расширения .msc и исполнения этого файла со случайным именем. Далее Erebus запускает файл eventvwr.exe (Просмотр событий), который автоматически открывает файл eventvwr.msc. Поскольку msc-файл больше не связан с mmc.exe (Консоль управления), то eventvwr.exe запустит файл вымогателя. Просмотр событий работает в режиме с повышенными правами, поэтому исполняемый файл будет иметь те же привилегии, что позволит обойти UAC.
Erebus подключается к ipecho.net/plain и ipinfo.io/country для определения IP-адреса жертвы, а также ее местоположения. Затем вредонос загружает Tor-клиент и использует его для подключения к управляющему серверу. Вымогатель осуществляет поиск документов с определенными расширениями и шифрует файлы при помощи алгоритма AES, а их расширения с помощью ROT-23. Далее на экран выводится сообщение с требованием выкупа за восстановление информации, содержащее уникальный идентификатор, который может использоваться в качестве логина на платежном портале, список зашифрованных документов и кнопку для осуществления оплаты.
Цифровые следы - ваша слабость, и хакеры это знают.