ИБ-исследователь из Rackspace Брэд Дункан (Brad Duncan) сообщает, что злоумышленники начали использовать эксплойт-пак Angler для распространения новой, пока безымянной итерации блокеров-шифровальщиков TeslaCrypt и AlphaCrypt.

Проведенный Дунканом анализ показал, что данный зловред отображает жертве то же сообщение с инструкциями, которое использует другой хорошо известный вымогатель CTB-Locker. Однако ни в этом сообщении, ни в последующем, с суммой выкупа и адресом страницы для оплаты, не указано имя новобранца.

Его предшественник TeslaCrypt, атакующий любителей видеоигр, появился в Сети в конце февраля, AlphaCrypt — в конце апреля. Согласно результатам анализа, проведенного участниками интернет-сообщества BleepingComputer.com, оба этих криптоблокера разнятся в основном тем, что первый добавляет к зашифрованным файлам расширения .ECC и .EXX, а второй — .EZZ.

Дункан со своей стороны пояснил журналистам Threatpost, что AlphaCrypt, по сути, является более новым вариантом TeslaCrypt и, с точки зрения жертвы, никакой разницы между ними нет.

Исследователь провел пятичасовой эксперимент и намеренно подверг четыре хоста атакам Angler. Каждый раз в результате эксплойта на машину загружался один и тот же сэмпл вымогателя (тот же файл, с тем же хэшем). Однако адреса для уплаты выкупа оказались разными. Как и в случае с другими криптоблокерами, жертве предлагалось выкупить ключ дешифрации за биткойны; в ходе эксперимента у Дункана потребовали сумму, эквивалентную $528.

«Насколько я могу судить, TeslaCrypt и AlphaCrypt очень схожи с CryptoLocker, — заявил Дункан в ответном письме Threatpost. — Новый, безымянный вариант, видимо, является очередным этапом эволюции этого семейства».

Категории: Вредоносные программы