Кроме шифрования файлов вымогатель FireCrypt также пытается провести DDoS-атаку небольшой мощности. Новоявленный гибрид-полиморфик был обнаружен исследователями из Malware Hunter Team и проанализирован Лоуренсом Абрамсом (Lawrence Abrams) из Bleeping Computer.

Согласно описанию на BleepingComputer.com, автор FireCrypt создает уникальные исполняемые файлы с помощью билдера BleedGreen, позволяющего маскировать их под документы DOC или PDF. При запуске FireCrypt принудительно завершает процесс Task Manager и шифрует 256-битным ключом AES файлы 20 типов, добавляя к итогу расширение .firecrypt. После этого жертве отображается сообщение с требованием выкупа в размере $500 (в биткойнах).

По свидетельству экспертов, это сообщение — очень близкая копия нотификации Deadly for a Good Purpose, вымогателя, обнаруженного Malware Hunter Team в октябре прошлого года. С этим предшественником FireCrypt также роднят одинаковые контактный email-адрес и Bitcoin-кошелек, указанные злоумышленниками. Не исключено, что FireCrypt — это просто версия Deadly for a Good Purpose, распространяемая под новым именем.

Главным отличием новобранца от прочих криптоблокеров является дополнительная DDoS-функция. Потребовав выкуп, FireCrypt обращается к прописанному в коде URL и начинает сгружать некий контент, сохраняя его во временных файлах. Согласно Bleeping Computer, текущая версия FireCrypt запрашивает pta.gov.pk, официальный портал пакистанского органа по надзору в сфере телекоммуникаций. Если жертва не заметит этих действий, зловред быстро заполнит папку %Temp% мусорными файлами с заданного сайта, постоянные обращения к которому можно с натяжкой классифицировать как низкоуровневую DDoS-атаку.

«Злоумышленнику придется заразить тысячи жертв для проведения достаточно мощной DDoS-атаки, способной создать проблемы на сайте этого правительственного органа, — пишет репортер Bleeping Computer. — Более того, все заражения должны произойти одновременно, и компьютеры жертв должны быть подключены к Интернету, чтобы иметь возможность принять участие в DDoS-атаке».

Абрамс полагает, что автор FireCrypt снабдил свое детище DDoS-компонентом в качестве эксперимента и это нововведение вряд ли заинтересует других злоумышленников. «Правильно выполненная DDoS-атака с использованием вредоносного ПО требует постоянства присутствия и скрытности, — комментирует эксперт. — Это явно несовместимо с успешной вымогательской кампанией, которая предполагает запуск и останов, показ требования выкупа и ожидание платежа. Лишь немногие вымогатели выказывают какую-либо персистентность, кроме отображения требования выкупа».

Вероятность обнаружения активности DDoS-компонента антивирусным сканером, по словам Абрамса, тоже снижает шансы FireCrypt на успех как дидосера. «Осуществление шифрования на компьютере заставит жертву просканировать его на предмет вредоносного ПО, и стойкий DDoS-компонент будет обнаружен, — пояснил Абрамс. — Не думаю, что это целесообразный метод проведения атак, требующих постоянного присутствия в системе».

Категории: DoS-атаки, Аналитика, Вредоносные программы