Вымогатель CryptXXX теперь распространяется через спам
19.07.2016
ИБ-исследователи Proofpoint обнаружили новую мошенническую кампанию, использующую спам-рассылку для распространения вымогателя CryptXXX. Злоумышленники отправляли электронные письма с прикрепленными документами, содержавшими вредоносные макросы для загрузки и установки CryptXXX. Ранее вымогатель распространялся только с помощью набора эксплоитов Angler и Neutrino.
Атакующие использовали методы социальной инженерии с целью заставить пользователя открыть вредоносные документы. Темой подобных сообщений были "Нарушение системы безопасности – отчет о безопасности". По словам экспертов, мошенническая кампания не достигла больших масштабов. Злоумышленники отправили всего несколько тысяч электронных сообщений. Однако, это может быть только тестовым испытанием новой моделью распространения CryptXXX и в ближайшее время стоит ожидать более массивных атак.
На данный момент CryptXXX находится в активной разработке и совсем скоро может появиться новая версия вредоноса, еще не изученная специалистами. Напомним, некоторое время назад пострадавшие от версий вредоноса, добавляющих расширения .Crypz и .Cryp1 к зашифрованным файлам, смогли бесплатно получить ключи для восстановления зашифрованного контента.
Не исключено, что такая "щедрость" может быть результатом ошибки в платежной системе злоумышленников. Также возможно, что операторы CryptXXX решили избавиться от старого кода и предлагать ключи дешифрования, как поступили операторы вымогателя TeslaCrypt в мае текущего года после завершения кампании.
