Bleeping Computer предупреждает о появлении нового Windows-вымогателя, который распространяется через вредоносную рекламу с использованием эксплойтов из набора RIG. К счастью, исследователи уже изучили опасную находку и выпустили бесплатный декриптор.

На запуск GetCrypt требуется согласие пользователя, так как обход службы контроля учетных записей его авторы не предусмотрели. После активации зловред прежде всего проверяет языковые настройки системы. Если жертва использует украинский, белорусский, русский или казахский язык, он завершает свои процессы и отказывается от шифрования.

В противном случае программа продолжает свою работу: отыскивает идентификатор производителя ЦП (CPUID) и использует его для создания строки из четырех символов, которая впоследствии будет добавляться к имени зашифрованных файлов. После этого GetCrypt удаляет теневые копии, используя Windows-утилиту vssadmin.exe, и приступает к шифрованию.

При поиске подходящих объектов вымогатель оперирует списком папок, которые следует обходить стороной:

  • :\$Recycle.Bin
  • :\ProgramData
  • :\Users\All Users
  • :\Program Files
  • :\Local Settings
  • :\Windows
  • :\Boot
  • :\System Volume Information
  • :\Recovery
  • AppData

Для преобразования файлов жертвы используются потоковый шифр Salsa20 и RSA с 4096-битным ключом. Зашифрованным файлам присваивается упомянутое четырехзначное расширение и в каждую папку с ними помещается записка # decrypt my files #.txt. Это сообщение написано на английском языке, но с орфографическими ошибками, и не окончено. Более полный текст выводится на экран в виде изображения, заменяющего обои рабочего стола. Сумма выкупа не оговаривается; для восстановления файлов жертве предлагают отослать письмо на адрес @cock.li, а в случае отсутствия отклика — на резервный @tutanota.com, прикрепив файл encrypted_key.bin из папки %AppData%.

Отыскивая файлы для шифрования, зловред пытается также добраться до сетевых папок общего пользования. Если такой ресурс недоступен, он использует список ходовых логинов и паролей для взлома и в случае успеха подключается к папке, используя функцию WNetAddConnection2W. Исследователи отмечают, что с подобной особенностью шифровальщика они столкнулись впервые.

У жертв GetCrypt имеется возможность вернуть данные без уплаты выкупа: эксперты Emsisoft создали специальную утилиту, которой можно воспользоваться, если сохранился оригинал хотя бы одного зашифрованного файла. Декриптор пока загружают с сайта компании, но она является участником онлайн-проекта No More Ransom, и можно ожидать, что в скором времени этот инструмент будет доступен и там.

Категории: Аналитика, Вредоносные программы