На черном рынке появился вымогатель по невероятно низкой цене — всего $39. Как полагают эксперты, низкая цена в сочетании с высоким потенциалом может привести к новому всплеску заражений.

Зловред-дешевка называется Stampado; помимо низкой цены он примечателен тем, что  угрожает удалять файлы каждые шесть часов, если жертва не уплатит выкуп.

Как рассказали исследователи из Heimdal Security, вымогатель использует примерно такие же техники и функции, как и CryptoLocker. CryptoLocker — это сложный троянец, использующий весьма неординарные техники, например туннелирование файловой системы (File System Tunneling), чтобы избежать детектирования.

Владельцы ПК, инфицированных Stampado, должны уплатить выкуп в размере 1 биткойна ($660) в течение 96 часов. После заражения компьютера злоумышленники угрожают удалять по файлу каждые шесть часов, пока не будет уплачен выкуп.

Модель продаж нового вымогателя довольно проста. Пожизненная лицензия на зловреда стоит $39. Аналогичные образцы ransomware-программ, доступные в дарквебе, продаются по цене от нескольких сотен до нескольких тысяч долларов. В 2015 году CryptoLocker продавался за $3 тыс., уточнили в Heimdal Security. Модель «вымогатель как сервис», в рамках которой киберпреступники не создают, а арендуют код зловреда на время, предполагает оплату $50 за определенный период аренды.

«Учитывая низкую цену, а также схожие с Jigsaw и CryptoLocker характеристики, я полагаю, что этот вымогатель — творение неопытных кодеров», — подчеркнул исследователь Лоуренс Абрамс (Lawrence Abrams), владелец блога BleepingComputer.

Эксперты пока не встречали Stampado «в дикой природе».

Создатели объявления о Stampado в дарквебе, похоже, позаимствовали риторику у программ типа «магазин на диване». Описание «товара» следующее:

«Вы всегда хотели обзавестись программой-вымогателем, но не хотели тратить сотни долларов? Тогда наше предложение специально для вас! Stampado — недорогой и простой в использовании вымогатель, который мы создали вместе с моей командой. Вам не понадобится хост. Все, что вам нужно, — это только email-аккаунт».

Как сообщили в Heimdal Security, технический анализ Stampado почти готов, но относительно его функций у экспертов есть вопросы.

«Различия Stampado и других современных шифровальщиков находятся в основном в плоскости используемых техник социальной инженерии и в ценообразовании», — говорят в Heimdal Security.

Исследователи рассказали, что Stampado доставляет загрузчик через файлы EXE, BAT, DLL, SCR и CMD. Зловред шифрует файлы пользователя, добавляя к ним расширение .locked.

«Жертва получает инструкцию с указанием связаться со злоумышленниками по адресу типа «username [at] email [dot] com», чтобы расшифровать файлы. Чтобы доказать, что дешифратор работает, создатели Stampado обещают расшифровать один файл бесплатно, а затем присылают указания по уплате выкупа», — говорят эксперты Heimdal Security.

Stampado — еще один зловред в целой веренице простых, сделанных впопыхах вымогателей. В течение нескольких месяцев создатели зловреда Jigsaw продолжали терроризировать жертв даже после того, как исследователи смогли обойти шифрование. Другой криптоблокер, Ranscam, который был обнаружен командой Cisco Talos, просто удаляет файлы, не шифруя их.

Категории: Аналитика, Вредоносные программы, Главное