Новый вид шифровальщика обнаружил ИБ-аналитик Андрей Иванов. Зловред, получивший название BestChangeRu, ориентирован на русскоязычных пользователей и требует 25 тыс. рублей за восстановление закодированных файлов.

Название исполняемого файла вредоносной программы — это случайная последовательность символов, а записка о выкупе содержится в документе «инструкция по оплате.txt». Злоумышленники требуют внести деньги в течение двух суток и грозят удвоить требуемую сумму, если не получат платеж в срок.

Вредоносный штамм назван по имени ресурса, на который ссылается письмо с требованием выкупа. Авторы программы предлагают жертве перейти на сайт bestchange[.]ru, специализирующийся на обмене криптовалют, и перевести оплату на биткойн-кошелек. Инструкция написана на русском языке и содержит, помимо прочего, ссылку на статью о методах резервного копирования.

В своем послании киберпреступники утверждают, что каждая жертва получает уникальный номер цифрового кошелька для оплаты выкупа. Специалисты проверили биткойн-аккаунт, указанный в одном из требований, и установили, что 19 февраля 2019 года на него перевели 0,095 BTC, что примерно соответствует 25 000 рублям по текущему курсу. На следующий день баланс кошелька обнулили двумя транзакциями на разные аккаунты.

На прошлой неделе новость об очередном шифровальщике появилась на форуме издания Bleeping Computer. Зловред Cr1ptT0r нацелен на сетевые хранилища на базе устройств D-Link NAS DNS-320 и продает дешифратор через магазин анонимной торговли на платформе OpenBazaar. Специалисты считают, что злоумышленники используют уязвимость конкретной модели NAS‑оборудования, но до сих пор не смогли определить способ заражения.

Категории: Вредоносные программы, Главное