При исследовании кода одной из недавно появившихся разновидностей вымогательского ПО эксперты наткнулись на неожиданную и слегка неприятную для себя находку. В одной из строк вирусописатели зашифровали сообщение, предназначенное специально для исследователей.

Как сообщил Лоуренс Абрамс из BleepingComputer.com, зловред был обнаружен исследователем по имени Джек (Jack). Новый шифровальщик нацелен преимущественно на пользователей из США и России.

Вымогатель ведет себя так же, как его многочисленные собратья: после заражения компьютера зловред шифрует файлы, добавляя расширение .silent. Шифрованию подвергается все, что попадется на пути: загрузки, документы, изображения, музыка, папки, хранящиеся на рабочем столе. «На разных этапах процесса шифрования зловред проверяет подключение к Google и при возможности связывается с командным сервером и посылает информацию о количестве зашифрованных файлов», — рассказывает в блоге Абрамс.

Пораженные файлы можно относительно просто расшифровать, утверждает эксперт. Пользователям надо посетить сайт, заплатить всего $30 в биткойнах или воспользоваться PayPal. После этого, получив свои документы, нужно отправить email-сообщение на адрес, зарегистрированный на сервисе Proton Mail.

Как подчеркивает Абрамс, сам факт использования PayPal для выплаты выкупа привел исследователей в замешательство.

«PayPal — странный выбор для вымогательства: аккаунт легко отследить, и он может привести правоохранителей к злоумышленнику», — пишет Абрамс.

Эксперты, копнувшие глубже, обнаружили в коде Blackshades «пасхалки».

Сообщения, большей частью зашифрованные по алгоритму base64 (в остальных случаях используется базовый метод построковой обработки), содержат секретные послания для исследователей — например, «YoxcnnotcrackthisAlgorithmynare>idiot<» («Этот алгоритм ты не взломаешь, идиот») и «Youaresofartocrackme» («Все равно не взломаешь»).

Одна из строк также содержит фразу: «Тебе меня не взломать, я слишком хорош». Источник заражения Blackshades все еще не определен, но исследователи из MalwareHunterTeam предполагают, что вымогатель распространяется через фейковые видео, «кряки» или патчи.

Вымогатель не имеет ничего общего (помимо имени) с Blackshades — RAT-троянцем, ранее доступным на хакерских форумах за $40. Несколько лет назад злоумышленники использовали его, чтобы похищать данные и шпионить за жертвами — сирийскими диссидентами.

Категории: Аналитика, Вредоносные программы