Материал просмотрен 132 раз(а)

Вышел в свет новый вредоносный продукт ныне популярного направления – шифровальщик файлов. Продукт получил имя «Ransom32». Последствия от заражения компьютера типичные для ПО такого класса – невозможность получить доступ к файлам, хранящимся на компьютере, а стресс от случившегося подогревает сообщение с требованием выкупа (и разумеется, таймер, по истечению которого сумма выкупа увеличивается).

Этапы работы шифратора Ransom32

Типичный шифратор представляет собой программу, выполняющую ряд действий:

  1. Заражение.

Заражение, как правило, происходит вследствие необдуманного сёрфинга в сети Интернет и бездумного запуска всех скачиваемых файлов. Злоумышленники регулярно изучают поисковую выдачу на предмет «вкусных» SEO фраз, под которые затачиваются определённые страницы сайтов. На этих сайтах публикуется самораспаковывающийся архив (либо даже сразу EXE-файл, имеющий иконку архива). Ниже публикуются восторженные отзывы фейковых посетителей и так далее. Зачастую, подобные сайты имитируют популярные сервисы типа «Майл.ру вопросы и ответы» и так далее. Пользователь запускает файл на исполнение и зловред внедряется в систему поглубже (несколько мест автозапуска, отключение антивируса и т.д.)

  1. Шифрование.

Следующий этап – вредоносный код делает поиск потенциально нужных файлов для пользователя – всего около 100 типов файлов. Создаётся ключ для расшифровки, который отправляется на командный сервер, на базе этого ключа создаётся ключ зашифровки, при помощи которого происходит шифрование следующих типов файлов:

Типы файлов

Типы файлов

Как видите, практически все пользовательские данные будут недоступны. Шифрование перезаписывает оригинальный файл таким образом, что восстановить его, даже пользуясь утилитами типа GetDataBack, EasyRecovery и т.д.

  1. Вымогательство.

Самый важный этап с точки зрения вредоноса. Пользователю показывается шокирующее сообщение, в котором есть всё необходимое. Идут таймеры. По истечению первого таймера сумма выкупа увеличивается с 0,1 Bitcoin до 1 Bitcoin. По истечению же второго таймера с командного сервера удаляется ключ расшифрования и данные будут потеряны навсегда. По крайней мере, так написано. Имеется Bitcoin-кошелёк, на который нужно переводить сумму выкупа.

Окно выкупа

Окно выкупа

  1. Дешифровка.

Иногда, к сожалению не всегда, когда дело доходит до выкупа, вредонос расшифровывает пользовательские файлы. Опять же, повторюсь, так происходит не всегда. Зачастую, злоумышленники даже не запариваются насчёт внедрения модуля расшифровки. Или ошибаются банально. Или вредонос даже не сохраняет ключ расшифрования. Или ещё много разных или. Одним словом, никакой гарантии выкуп не даёт. Вот единственная гарантия – это своевременное резервное копирование! Ещё разок подумали и сделали, пока не стало поздно.