Обнаружен первый  «саморазмножающийся» шифратор

Компания ESET предупреждает о появлении новой разновидности трояна-шифратора с уникальным механизмом заражения файлов. Вредоносная программа носит название Win32/Virlock.

Как и другие известные шифраторы, Virlock блокирует рабочий стол инфицированного компьютера, кодирует файлы и выводит на экран требование выкупа. Зловред работает с широким перечнем типов файлов: среди них — .exe, .doc, .xls, .zip, .rar, .pdf, .ppt, .mdb, .mp3, .mpg, .png, .gif, .bmp, .p12, .cer, .psd, .crt, .pem, .pfx, .p12, .p7b, .wma, .jpg и .jpeg. При этом Virlock способен заражать файлы на сетевых дисках и съёмных носителях.

В дополнение к «традиционным» функциям вредоносная программа может инфицировать файлы как полиморфный вирус, встраивая в них свой код. Для этого применяется специальная схема. Вместо обычного для данного типа вредоносного ПО побайтного шифрования, зловред преобразует файл в исполняемый. Для этого Virlock создаёт новый файл с зашифрованным содержимым документа и своим кодом, удаляет оригинальный файл и перезаписывает новый с тем же именем, но с расширением .exe.

Запуск инфицированного файла сопровождается созданием двух новых, осуществляющих дальнейшее заражение системы. Полиморфизм гарантирует уникальность тела вредоносной программы в каждом «обработанном» файле.

Часть кода вымогателя ответственна за отображение пользователю экрана блокировки, при этом применяются уже ставшие типичными методы самозащиты, в том числе завершение процессов проводника и диспетчера задач. Сообщение в окне блокировки содержит текст предупреждения и предложение оплатить сумму выкупа в биткоинах в эквиваленте 250 долларов США.

Любопытно, что Virlock способен выполнять некоторую локализацию интерфейса окна блокировки. Для этого используется соединение с веб-сайтом google.com и дальнейший анализ домена, на который осуществляется перенаправление, например, google.com.au, google.ca, google.co.uk или google.co.nz. Также используется функция GetUserGeoID. Для стран, соответствующих вышеперечисленным доменам, отображается свой флаг, стоимость биткоинов и текущий курс национальной валюты.

Обнаружено уже несколько модификаций вредоносной программы. Кроме того, отмечается, что некоторые жертвы уже заплатили выкуп злоумышленникам. 

Вы можете оставить комментарий, или ссылку на Ваш сайт.

Оставить комментарий