Создатели некоторых вымогателей-шифровальщиков, в частности Cryptowall, предлагают услугу «поддержки клиентов». Авторы нового криптоблокера, распространяемого под именем PadCrypt, пошли еще дальше и снабдили свое детище чат-функцией, чтобы жертвы могли в реальном времени уточнить у вымогателей условия выкупа и получить иную дополнительную информацию.

PadCrypt обнаружил исследователь из швейцарского онлайн-проекта abuse.ch; насколько известно, это первый зловред-шифровальщик, который обеспечивает жертвам интерактивную связь с операторами. В настоящее время выявленные C&C-серверы новичка — annaflowersweb[.]com, subzone3[.]2fh[.]co, cloudnet[.]online — отключены, и зловред не является серьезной угрозой.

Живой чат, требующий доступа к C&C, — не единственное отличительное свойство PadCrypt, вымогатель также загружается вместе с деинсталлятором. Однако удаление зловреда в данном случае не помогает расшифровать файлы, взятые им в заложники.

«Такая функция [живой чат] способна повысить объем выручки, так как жертва может получить «поддержку» и инструкции для прохождения мудреной процедуры оплаты, — отметил Лоуренс Абрамс (Lawrence Abrams) из Bleeping Computer, также изучающей нового вымогателя. — Мы недавно столкнулись с криптоблокером, который позволяет включать и выключать для него автозапуск, но деинсталлятор в таком пакете видим впервые. В ходе исполнения эта утилита удаляет все сообщения с требованием выкупа и файлы, ассоциируемые с процессом заражения. К сожалению, все зашифрованные файлы остаются при этом неизменными».

Распространяется PadCrypt через спам-письма, содержащие ссылку на zip-архив; в нем содержится вредоносный файл, выдающий себя за документ PDF, — DPD_11394029384.pdf.scr. Расширение .scr в данном случае помогает обнаружить подлог. Если этот файл исполнить, в систему установится зловред вместе с деинсталлятором и возможностью живой связи с его хозяевами.

PadCrypt сканирует локальные диски, оперируя заданным списком расширений. Найденные файлы шифруются по AES, к их имени добавляется расширение .enc. Имена зашифрованных файлов данный блокер, по свидетельству Bleeping Computer, сохраняет в текстовом файле. Чтобы жертва не смогла восстановить потери, зловред удаляет теневые копии. По окончании шифрования он создает текстовый файл README с руководством по уплате выкупа.

«Выводимое на экран сообщение содержит инструкции по уплате 0,8 биткойна, или около $350, с помощью PaySafeCard либо карты Ukash, — уточняет Абрамс. — В этом сообщении также указано, что оплату нужно произвести в течение 96 часов, в противном случае нужный ключ будет уничтожен. Возможности бесплатной расшифровки на настоящий момент нет».

Программы-вымогатели продолжают досаждать бизнес-структурам. Так, в минувшую пятницу Пресвитерианский медицинский центр Голливуда пожаловался на поразившего его системы зловреда, который зашифровал файлы пациентов. Журналисты NBC в Лос-Анджелесе цитируют главу лечебного учреждения Южной Калифорнии, который отметил, что из-за недоступности критически важных ресурсов была нарушена повседневная работа больницы и некоторых пациентов пришлось перевести в другие стационары. По данным NBC, вымогатели требовали у медиков более $3 млн.

К сожалению, интернет-безопасность медицинских учреждений до сих пор не на высоте. Выступая на конференции Kaspersky Security Analyst Summit 2016, эксперт «Лаборатории Касперского» Сергей Ложкин рассказал, как он взломал сеть одной из московских больниц — с разрешения ее руководства, разумеется. Подобрав без особого труда пароль местной точки Wi-Fi, исследователь смог получить доступ к локальной сети клиники, а затем — к незащищенным панелям управления подключенных к Интернету устройств, используемых для лечения и диагностики.

Категории: Аналитика, Вредоносные программы