Эксперты «Лаборатории Касперского» проанализировали образец нового шифровальщика, атакующего пользователей по всему миру. Зловред распространяется при помощи фейковых установщиков и содержит возможность ручного управления.

Всплеск активности трояна-вымогателя KeyPass ИБ-сообщество зафиксировало в начале августа. Жертвами вредоносной кампании стали пользователи из более чем 20 стран. На момент публикации исследования максимальное количество атак произошло в Бразилии (21,6% от общего числа попыток заражения) и Вьетнаме (16,2%). Также пострадали жители Индии, Шри-Ланки, Индонезии, Филиппин, Таиланда, Алжира, Кении, Франции, Германии и др. Как сообщают на форуме издания Bleeping Computer, в некоторых случаях зловред распространяется вместе с GandCrab.

После проникновения на устройство KeyPass копирует себя в %LocalAppData% и удаляется из первоначальной директории. Затем он создает несколько своих процессов и приступает к шифрованию данных. В отличие от большинства программ такого типа, зловред преобразует документы с любым расширением, обходя отдельные папки, прописанные в его коде, в частности системные директории и пути, по которым находятся браузеры.

В каждом файле троян шифрует приблизительно первые 5 МБ данных, а затем приписывает объекту расширение .KEYPASS. Так, изображение test.jpg на выходе превращается в test.jpg.KEYPASS. Зловред использует симметричный алгоритм шифрования AES-256 и кодирует все документы при помощи одного 32-битного ключа, который ему сообщает C&C‑сервер.

Если вымогатель не может связаться с сервером — например, компьютер жертвы отключен от Интернета, — вместо индивидуального ключа он применяет значение, прописанное в его коде. В этом случае расшифровать файлы не составляет труда.

В каждую папку KeyPass помещает TXT-файл с требованием выкупа. Чтобы вернуть свои документы, жертва должна прислать свой ID на email-адрес злоумышленников, указанный в записке. В ответ ей обещают сообщить дальнейшие инструкции — кому и в каком виде переводить деньги за декриптор и индивидуальный ключ дешифровки. Свои «услуги» мошенники оценивают в $300. Чтобы убедиться в том, что их ПО рабочее, жертва может бесплатно расшифровать от одного до трех небольших файлов.

Что любопытно, в интерфейсе трояна содержится скрытая форма, позволяющая вручную модифицировать его настройки, в частности:

  • ключ шифрования;
  • название и содержание требования выкупа;
  • ID жертвы;
  • расширение зашифрованных файлов;
  • список директорий, которые обходит зловред.

Форма вызывается нажатием специальной кнопки на клавиатуре. Это может означать, что в перспективе авторы KeyPass собираются использовать его для таргетированных атак.

Категории: Аналитика, Вредоносные программы