Обнаружен первый «саморазмножающийся» шифратор
Компания ESET предупреждает о появлении новой разновидности трояна-шифратора с уникальным механизмом заражения файлов. Вредоносная программа носит название Win32/Virlock.
Как и другие известные шифраторы, Virlock блокирует рабочий стол инфицированного компьютера, кодирует файлы и выводит на экран требование выкупа. Зловред работает с широким перечнем типов файлов: среди них — .exe, .doc, .xls, .zip, .rar, .pdf, .ppt, .mdb, .mp3, .mpg, .png, .gif, .bmp, .p12, .cer, .psd, .crt, .pem, .pfx, .p12, .p7b, .wma, .jpg и .jpeg. При этом Virlock способен заражать файлы на сетевых дисках и съёмных носителях.
В дополнение к «традиционным» функциям вредоносная программа может инфицировать файлы как полиморфный вирус, встраивая в них свой код. Для этого применяется специальная схема. Вместо обычного для данного типа вредоносного ПО побайтного шифрования, зловред преобразует файл в исполняемый. Для этого Virlock создаёт новый файл с зашифрованным содержимым документа и своим кодом, удаляет оригинальный файл и перезаписывает новый с тем же именем, но с расширением .exe.
Запуск инфицированного файла сопровождается созданием двух новых, осуществляющих дальнейшее заражение системы. Полиморфизм гарантирует уникальность тела вредоносной программы в каждом «обработанном» файле.
Часть кода вымогателя ответственна за отображение пользователю экрана блокировки, при этом применяются уже ставшие типичными методы самозащиты, в том числе завершение процессов проводника и диспетчера задач. Сообщение в окне блокировки содержит текст предупреждения и предложение оплатить сумму выкупа в биткоинах в эквиваленте 250 долларов США.
Любопытно, что Virlock способен выполнять некоторую локализацию интерфейса окна блокировки. Для этого используется соединение с веб-сайтом google.com и дальнейший анализ домена, на который осуществляется перенаправление, например, google.com.au, google.ca, google.co.uk или google.co.nz. Также используется функция GetUserGeoID. Для стран, соответствующих вышеперечисленным доменам, отображается свой флаг, стоимость биткоинов и текущий курс национальной валюты.
Обнаружено уже несколько модификаций вредоносной программы. Кроме того, отмечается, что некоторые жертвы уже заплатили выкуп злоумышленникам.
Источник:
Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме
Виджет от SocialMart
© 3DNews
