В начале августа исследователи обнаружили новую целевую кампанию по распространению трояна-вымогателя, направленную на организации из сферы здравоохранения и образования. Зловред, названный Defray по имени его C&C (defrayable-listings[.]000webhostapp[.]com), распространялся по электронной почте в виде вложений формата Microsoft Word.

Исследователи из Proofpoint, обнаружившие две атаки с участием вымогателя – в 15 и 22 августа, — сообщили, что вредоносная программа, возможно, не предназначалась для массовой рассылки.

Документ Word, рассылавшийся в ходе одной из этих кампаний, был отправлен от имени директора по информационным технологиям одной из британских больниц. В другой – от имени расположенной в Великобритании международной сети аквариумов с офисами в США, Австралии и Китае. В обоих случаях зловред представлял собой исполняемый OLE объект. Если пользователь дважды кликал по нему, вымогатель, замаскированный под taskmgr.exe или explorer.exe, скачивался на компьютер и запускался.

В записке, загруженной на компьютер жертвы, атакующий вымогал 5 тысяч долларов, но, как отмечают исследователи, в записке также указаны несколько электронный адресов, возможно, принадлежащих киберпреступнику – Игорю Глушкову (Igor Glushkov). Так что жертвы могут «договориться о снижении суммы выкупа или задать вопросы».

По словам исследователей, они не вникали в процесс шифрования, но заметили, что Defray шифрует только файлы определенного типа и при этом не меняет их расширения. В Windows 7 зловред отслеживает запущенные программы, такие как браузер или менеджер задач, и прекращает их работу. Также исследователи заметили, что вымогатель отключает запуск в безопасном режиме и удаляет любые теневые копии тома, что точно не обрадует администраторов системы.

Поскольку исследователям удалось обнаружить только две атаки, они сделали вывод, что вымогатель не предназначен для открытой продажи. Возможно, Defray сохраняется авторами для личного использования или же предоставляется по принципу «вымогатель как услуга». Потому его широкое распространение в дальнейшем маловероятно, хотя он может и дальше использоваться для атаки на определенные уели.

В прошлом месяце на Black Hat группа итальянских исследователей представила драйвер для файловой системы Windows, который может помочь пользователям избежать атак таких вымогателей как Defray. Инструмент под названием ShieldFS, пока еще недоступный широкой публике, выявил более дюжины вымогателей с точностью 97%. ShieldFS блокирует зловреда в момент обнаружения, а его отдельная функция позволяет сохранять и при необходимости восстанавливать файлы.

Категории: Вредоносные программы