14.01.2017 20:01
Специалист компании Avast сообщил об обнаружении странного вируса-вымогателя PayDOS, который позднее получил официальное название Seprent. Хотя утилита претворяется грозным шифровальщиком, на самом деле файлы не шифруются – вирус просто меняет их название. Исследователь также отметил, что вредоносное приложение изначально создано как обычный пакетный файл (batch file), после чего было произведено конвертирование в исполняемый файл.
Первая версия вредоносной программ, которая получила название PayDOS, при активации извлекает пакетный файл в каталог Temp и осуществляет его запуск. Утилита сканирует директории, прописанные в файле конфигурации, и меняет одну из букв в расширениях файлов. Например, расширения .png могут быть изменены на .dng.
Далее PayDOS демонстрирует пользователю требование выкупа, утверждая, что все файлы надежно зашифрованы. Однако это не так – кроме переименования с файлами ничего не происходит. Более того, в требовании не указываются контактные данные или платежная информация. Пострадавший даже при желании не сможет перевести деньги. Во всех случаях можно использовать один пароль для возврата всех изменений - AES1014DW256. После ввода пароля приложение само изменяет все расширения к прежнему виду.
Следующей модификацией данного вируса является Serpent. Ряд признаков указывает на то, что утилита также находится на стадии разработки. В сообщении присутствует адрес электронной почты, однако такого аккаунта не существует. Serpent также просто редактирует расширения файлов и использует заранее прописанный пароль для отката всех изменений (RSA1014DJW2048). Единственное значимое изменение, которое отличает Serpent от PayDOS, это использование VBS-файла для проговаривания вслух требования выкупа (такая особенность также присутствует в вирусе Cerber).
Лоренс Абрамс (эксперт Bleeping Computer) отметил, что в данный момент PayDOS и Serpent не опасны, а до полноценных шифровальщиков они могут никогда не «дорасти». Собственная статистика исследователя показывает, что только небольшой процент вымогателей проходят стадию тестирования и превращаются в полноценные угрозы.
Понравилась эта новость? Подпишись на нас в соцсетях!
Смотрите ещё
- Программисты создали необнаруживаемый вирус для Windows 11.12.2017
- Вымогатель LeakerLocker угрожает разослать историю браузера всем контактам жертвы 5.11.2017
- Малварь скрытно добавили в 50 приложений из Google Play через вредоносный SDK 28.10.2017
- «Доктор Веб»: злоумышленники используют интернет вещей для рассылки спама 19.10.2017
- Эксперты рассказали о новом Android-вирусе, ворующем деньги со счетов пользователей 7.07.2017