It is currently 23-10-2017 01:37

Поклонник триллера «Судная ночь» атакует жертв с помощью вымогательского ПО

Поклонник триллера «Судная ночь» атакует жертв с помощью вымогательского ПО

by sigismund » 2016-08-25 12:33:46


В отличие от других троянов-шифровальщиков Globe шифрует файлы с помощью алгоритма Blowfish, а не AES.


В последнее время как никогда раньше наблюдается взаимное проникновение поп-культуры в хакерскую – взять хотя бы появление новых троянов-шифровальщиков FSociety и Pockemon GO, названных в честь телесериала «Мистер Робот» и популярной игры с покемонами. Как сообщает Bleeping Computer, ИБ-эксперт xXToffeeXx обнаружил образец вымогательского ПО Globe, созданный, очевидно, поклонником американского триллера-антиутопии «Судная ночь» («The Purge»).

Globe действует точно так же, как большинство вымогателей. Попав на систему жертвы, вредонос шифрует файлы, добавляя расширение .purge, и выводит на экран уведомление с требованием выкупа. В качестве обоев используется постер «Судной ночи 3». Тем не менее, в отличие от других троянов-шифровальщиков Globe шифрует файлы с помощью алгоритма Blowfish, а не AES. Более того, вместо текста и HTML для уведомления с требованием выкупа используется HTML Application (HTA).

В настоящее время пока неизвестно, как вредонос попадает на компьютеры жертв. После установки на систему Globe проверяет, не запущена ли она в песочнице или на виртуальной машине, например, на Anubis, VirtualBox, VMware или Virtual PC. Обнаружив песочницу или виртуальную машину, вредонос прекращает дальнейшую активность, в противном случае приступает к шифрованию.

В процессе шифрования в папке с зашифрованными файлами вымогатель создает уведомление с требованием выкупа в виде HTA-документа (How to restore files.hta) и инициирует процесс автозапуска How to restore files, открывающий уведомление при каждом запуске Windows. В процессе шифрования Globe удаляет теневые копии и деактивирует функцию автоматического восстановления системы после неудачной загрузки (Startup Repair).

Завершив процесс, вымогатель открывает How to restore files.hta. Уведомление содержит уникальный идентификатор пользователя и контактные данные разработчика (электронный адрес [email protected] и адрес BM-2cUrKsazEKiamN9cZ17xQq9c5JpRpokca5 в мессенджере Bitmessage).
Поскольку предварительный анализ Globe не выявил каких-либо уязвимостей в шифровании, разработать инструмент, позволивший бы восстанавливать зашифрованные файлы без уплаты выкупа, пока не представляется возможным.
sigismund
moderators
Сообщений: 788
Депозит: 0 BTC

Rating: 5