Стало известно о появлении нового образца вымогателя, основными целями которого стали органы местного самоуправления, представительства госструктур на местах и образовательные учреждения. Эти организации обычно не выделяют существенные бюджеты на обеспечение безопасности инфраструктуры, считают исследователи.

Вымогатель под названием MarsJoke был замечен в результате массированной спам-рассылки, координируемой через ботнет Kelihos, заявили в компании Proofpoint.

«Email-сообщения содержат вредоносные ссылки, при нажатии на которые на компьютер загружается исполняемый файл «file_6.exe». Файл скачивается с различных сайтов, специально зарегистрированных для распространения зловреда», — пишут специалисты Proofpoint в блоге.

Метод распространения отличается от типичных ransomware-атак, в ходе которых зловреды проникают в компьютер через вредоносные макросы в офисных документах (как, например, Locky). Отличительной чертой  MarsJoke являются весьма убедительные спам-сообщения, имитирующие оформление email-рассылок от известных авиаперевозчиков и сервисов доставки. Прочитав типичное сообщение-обманку вроде «Используйте для отслеживания брони/груза номер, предоставленный в прилагаемом файле», пользователь кликает вложение и запускает процесс заражения.

«После того как пользователь скачает и запустит файл «file_6.exe», на компьютер устанавливается шифровальщик MarsJoke. Он очень быстро шифрует файлы, но не меняет их расширения — расширения .a19 и .ap19 появляются временно, в процессе шифрования», — объясняют в Proofpoint.

На рабочем столе жертвы MarsJoke появляется черный экран с текстом записки о выкупе. Диалоговое окно сообщает, что «документы, скрипты, фото и другие важные файлы были зашифрованы при помощи устойчивого криптографического алгоритма AES-256; для расшифровки файлов на этом компьютере был создан уникальный ключ».

marsjoke_proofpoint3_3

Сообщения по умолчанию демонстрируются на английском языке, но при этом в тексте содержится перевод записки на русский, итальянский, испанский и украинский. Злоумышленники сообщают жертве, что на уплату выкупа в размере 0,7 биткойна ($320) отводится 96 часов. Если выкуп не будет уплачен в срок, файлы будут удалены.

Создатели MarsJoke позаимствовали некоторые особенности атаки у CryptFile2, считают в Proofpoint. Вредоносный спам с шифровальщиком CryptFile2 также рассылался при помощи ботнета Kelihos. Как и MarsJoke, CryptFile2 использовал вредоносные ссылки, предназначался для образовательных и государственных учреждений, а также подгружал на компьютеры жертв другое вредоносное ПО.

Основные различия между двумя вымогателями заключаются в том, что в кампаниях CryptFile2 зловред доставлялся через Word-документы с вредоносными макросами; алгоритмы шифрования также разные. Proofpoint присвоила новому шифровальщику название MarsJoke, используя любопытный фрагмент его кода — «HelloWorldItsJokeFromMars.»

«MarsJoke — это не просто еще один вымогатель. Размер сообщения и выбор целей говорят о том, что шифровальщик требует пристального внимания: хакеры ищут способы монетизации новых зловредов, так как привычные техники, используемые в ransomware-атаках, уже известны пользователям», — заключили в Proofpoint.

Категории: Аналитика, Вредоносные программы, Спам