Поклонник триллера "Судная ночь" атакует жертв с помощью вымогательского ПО

Поклонник триллера "Судная ночь" атакует жертв с помощью вымогательского ПО

 Globe действует точно так же, как большинство вымогателей. Попав на систему жертвы, вредонос шифрует файлы, добавляя расширение .purge, и выводит на экран уведомление с требованием выкупа. В качестве обоев используется постер "Судной ночи 3". Тем не менее, в отличие от других троянов-шифровальщиков Globe шифрует файлы с помощью алгоритма Blowfish, а не AES. Более того, вместо текста и HTML для уведомления с требованием выкупа используется HTML Application (HTA).

 В настоящее время пока неизвестно, как вредонос попадает на компьютеры жертв. После установки на систему Globe проверяет, не запущена ли она в песочнице или на виртуальной машине, например, на Anubis, VirtualBox, VMware или Virtual PC. Обнаружив песочницу или виртуальную машину, вредонос прекращает дальнейшую активность, в противном случае приступает к шифрованию.

 В процессе шифрования в папке с зашифрованными файлами вымогатель создает уведомление с требованием выкупа в виде HTA-документа (How to restore files.hta) и инициирует процесс автозапуска How to restore files, открывающий уведомление при каждом запуске Windows. В процессе шифрования Globe удаляет теневые копии и деактивирует функцию автоматического восстановления системы после неудачной загрузки (Startup Repair).

 Завершив процесс, вымогатель открывает How to restore files.hta. Уведомление содержит уникальный идентификатор пользователя и контактные данные разработчика (электронный адрес powerbase@tutanota.com и адрес BM-2cUrKsazEKiamN9cZ17xQq9c5JpRpokca5 в мессенджере Bitmessage).

 Поскольку предварительный анализ Globe не выявил каких-либо уязвимостей в шифровании, разработать инструмент, позволивший бы восстанавливать зашифрованные файлы без уплаты выкупа, пока не представляется возможным.

Securitylab