Набор эксплойтов Fallout начал распространять шифровальщик Kraken Cryptor. Об этом сообщила команда исследователей nao_sec, отслеживающая активность вредоносного комплекта. Программа-вымогатель кодирует файлы на компьютере жертвы, а затем требует выкуп в биткойнах. По словам исследователей, скрипт доступен для аренды на условиях Ransomware-as-Service, поэтому не исключено его появление в новых кибератаках.

Kraken Cryptor появился на радарах исследователей в августе, а на прошлой неделе был замечен в кампании Fallout. Набор раздавал зловред версии 1.5 с пометкой EK Edition, позднее авторы эксплойт-кита обновили шифровальщик до сборки 1.6. Для проникновения на компьютер жертвы эксплойт-кит, как и раньше, использует уязвимость CVE-2018-8174, допускающую удаленное выполнение кода на инфицированной машине через баг в движке VBScript.

Исполняемый модуль вымогателя размещается в каталоге Program Data. На первом этапе атаки зловред создает файл с нумерованным списком всех системных событий, после чего проверяет язык и географические настройки Windows. Как отмечают исследователи, Kraken Cryptor не шифрует данные на компьютерах пользователей из России, бывших советских республик, Ирана и Бразилии.

Для того чтобы предотвратить сохранение незакодированной информации в открытых базах данных, скрипт выгружает из памяти процессы, связанные с работой соответствующих программ. Далее вредонос шифрует данные на зараженном компьютере. Целью Kraken Cryptor являются около 400 типов файлов, в частности документы, изображения, аудио и видео, а также широкий список архивов.

Ранние версии скрипта переименовывали зашифрованные объекты, последовательно нумеруя их и присваивая расширение .onion. Начиная с релиза 1.6, имена и расширения файлов представляют собой случайный набор символов.

Помимо этого, зловред перезаписывает все свободные секторы на жестком диске так, чтобы исключить возможность восстановления оставшихся там данных. Kraken Cryptor оставляет в каждой папке инфицированного устройства файл с требованием выкупа и уникальным криптоключом жертвы, без которого расшифровка информации будет невозможна. В качестве выкупа злоумышленники требуют 0,256 биткойнов (около $1700 по текущему курсу).

Чтобы избежать попадания в ловушки исследователей, новый игрок на рынке криминального ПО предварительно проверял устройство жертвы на наличие виртуальных машин, песочниц и других инструментов, характерных для компьютеров ИБ-специалистов. Если таковые имелись в атакуемой системе, скрипт прекращал свою работу.

Эксперты впервые обнаружили Fallout в августе 2018 года. Изначально новый эксплойт-пак распространял вредоносную программу CoalaBot, предназначенную для проведения DDoS-атак, однако позже переключился на шифровальщики.

Категории: Вредоносные программы