Эксперт Лоуренс Абрамс (Lawrence Abrams) из Bleeping Computer проанализировал образец вымогателя с экстравагантным именем Barack Obama’s Everlasting Blue Blackmail Virus («вымогательский вирус глубоко опечаленного Барака Обамы»). Данный зловред примечателен тем, что шифрует лишь файлы в формате .exe — даже те, что помещены в папку Windows.

Сообщение, выводимое на экран при заражении, содержит фото Обамы на фоне двух флагов — США и КНР. В свойствах вредоносного файла язык указан китайский, поэтому, видимо, англоязычный текст с требованием выкупа шероховат. Так, плату за расшифровку автор называет tip — «чаевые».

При запуске «вирус Обамы», по словам Абрамса, завершает все процессы, ассоциируемые с антивирусами, в том числе с продуктами «Лаборатории Касперского», McAfee и китайской компании Beijing Rising International Software. После этого зловред приступает к поиску и шифрованию исполняемых файлов. Подобный выбор, по свидетельству эксперта, нестандартен для вымогателей: они обычно обходят стороной папку Windows, чтобы не нарушить выполнение жизненно важных функций системы.

«Обама-вирус» также модифицирует ключи реестра, ассоциируемые с шифруемыми файлами. В результате этим файлам присваиваются новые иконки, а сам зловред исполняется при каждом запуске какого-либо .exe.

Чтобы получить инструкции по оплате расшифровки, жертве предлагают связаться с оператором зловреда по электронной почте (@qq.com). Получил ли кто-нибудь ключ после уплаты выкупа, на настоящий момент не известно. Способ распространения данной вредоносной программы тоже пока не определен.

Новый инструмент вымогательства — не единственное посвящение президенту США в коллекции Абрамса. Пока Дональд Трамп и Хиллари Клинтон вели предвыборную борьбу, эксперт обнаружил аналогичный образчик черного юмора вирусописателей — Donald Trump Ransomware. Правда, этот проект находился на стадии разработки: зловред был не в состоянии шифровать файлы, он просто менял их имя и добавлял свое расширение (.ENCRYPTED).

Категории: Аналитика, Вредоносные программы