Обнаружен новый наследник вымогательского ПО TeslaCrypt
15.06.2016
Исследователи компании ESET сообщили о появлении нового вымогательского ПО, пришедшего на смену известному шифровальщику TeslaCrypt. По словам специалистов, семейство вымогателей Crisis способно шифровать файлы на жестких, съемных и сетевых дисках. Вредонос использует особые техники и сильные алгоритмы шифрования, что значительно усложняет восстановление документов.
Злоумышленники используют несколько подходов для распространения Crisis. В большинстве случаев вредоносное ПО кроется в приложениях к спам-письмам, содержащих файлы с двойным расширением. Также Crisis может распространяться под видом безобидных установщиков для различных легитимных приложений.
Инфицировав компьютер, вредонос создает запись в реестре и приступает к шифрованию всех файлов на устройстве, за исключением системных, добавляя расширение на .ID%variable%.%email_address%.xtbl. Далее Crisis отправляет список, содержащий имя компьютера и количество зашифрованных файлов (а также их форматы), на C&C-сервер злоумышленников.
Затем вымогатель помещает в системную папку Desktop текстовый файл, сопровождающийся изображением с требованием выкупа. За восстановление зашифрованных документов злоумышленники требуют от €400 до €900. Выплата осуществляется в биткойнах.
