ИБ-специалист и разработчик ID Ransomware Майкл Гиллеспи (Michael Gillespie) обнаружил новый вариант вымогателя Dharma. Теперь зловред шифрует данные, добавляя к ним другое расширение файла — cmb.

Злоумышленники устанавливают вредоносное ПО на компьютеры жертв с помощью RDP-утилит. Они сканируют Интернет в поисках открытых TCP-портов 3389, предоставляющих доступ к удаленному рабочему столу, меняют системный пароль и запускают шифровку файлов.

Атаки через RDP получают все большее распространение. В начале 2017 года через протокол удаленного доступа на компьютеры проникло 66% зловредов, а через электронную почту — лишь 33%. Этим способом пользовался и шифровальщик Crysis, на котором основан Dharma. ИБ-исследователи выявили между ними прямую связь, анализируя атаки вымогателей за 2016 год.

Новый вариант вредоноса добавляет после кодирования к имени файла уже не .dharma, а расширение в формате .id-[id].[e-mail].cmb. При этом [e-mail] указывает фактический адрес электронной почты злоумышленника, по которому жертва должна с ним связаться. Так, test.jpg после шифровки превратится в test.jpg.id-BCBEF350.[Paymentbtc@firemail.cc].cmb.

Лоуренс Абрамс (Lawrence Abrams), аналитик издания BleepingComputer, предупреждает о серьезности угрозы.

«Этот вымогатель зашифрует и подключенные сетевые диски, и общие среды под управлением виртуальной машины, и неотображаемые совместные сетевые папки. Поэтому необходимо убедиться, что доступ к вашим сетевым ресурсам был только у тех, кому он действительно нужен».

Кроме того, вредоносное ПО прописывается в автозапуске и при каждой перезагрузке кодирует новые файлы.

Требования выкупа вымогатель оставляет сразу в двух местах. Первое сообщение, Info.hta, автоматически появляется после запуска зараженного компьютера. Второе, текстовый файл с именем FILES ENCRYPTED.txt, пользователь может найти на рабочем столе.

В обеих записках злоумышленники предлагают писать на адрес bbcc@firemail.cc, чтобы получить инструкции об оплате в биткоинах. Цена не указана, однако преступники отметили, что она зависит от того, насколько быстро жертва к ним обратится.

На данный момент возможности бесплатно расшифровать файлы нет, так как ключи для новой версии Dharma еще не разработаны. Поэтому специалисты рекомендуют не забывать регулярно выполнять резервное копирование, а также проверить, правильно ли заблокированы службы удаленного доступа.

Категории: Вредоносные программы