О — опасность
Требование выкупа
Эксперты ESET предупредили о появлении опасного шифратора, который маскируется под браузер Google Chrome. Шифратор под названием Ransom32 работает под Microsoft Windows, однако могут существовать его модификации для платформ Linux и Apple OS X.
Что примечательно, Ransom32 распространяется среди киберпреступников по модели «оплата за услугу». Так, для генерации вредоносной программы и доступа к панели управления покупателю достаточно указать адрес своего биткоин-кошелька. Оператор Ransom32 может самостоятельно задавать сумму выкупа в биткоинах, менять текст с требованием выкупа (что актуально при распространении в разных странах), а также просматривать статистику заражений и полученных средств.
Панель управления Ransom32
Распространение Ransom32 осуществляется через традиционные для шифраторов каналы: вредоносные сайты, атаки типа drive-by-download, вложения в электронной почте, а также сложные атаки с использованием троянов-загрузчиков или бэкдоров.
После загрузки и исполнения в зараженной системе Ransom32 шифрует файлы более ста распространенных форматов, включая TXT, .DOC, .JPG, .GIF, .AVI, .MOV, .MP4, а также выводит на экран сообщение для жертвы. Для связи с управляющим сервером шифратор использует анонимную сеть Tor.
Шифрование осуществляется с помощью 128-битного ключа, при этом для каждого зашифрованного файла генерируется свой ключ. Вредоносная программа предлагает жертве расшифровать один файл, чтобы убедиться, что восстановление данных возможно.
Эксперты ESET рекомендуют регулярно создавать резервные копии важных файлов, обновлять операционную систему и программное обеспечение, включая антивирусное ПО, а также игнорировать подозрительные письма и не запускать приложенные к подобным письмам файлы.
Кроме того, установщики программ необходимо скачивать только с официальных сайтов производителей.
Антивирусные продукты ESET NOD32 успешно детектируют новую вредоносную программу как Win32/Filecoder.NFR.
