Исследователь кибербезопасности Джером Сегура (Jerome Segura) сообщил об очередной вспышке активности вируса-вымогателя Matrix. Впервые об этом шифровальщике заговорили в конце 2016 года, а уже через несколько месяцев авторы Matrix усовершенствовали вирус, добавив ему возможность самораспространения.

Новый вариант зловреда распространяется в рамках malvertising-кампаний на базе эксплойт-пака RIG посредством рекламных баннеров. Как сообщает Сегура, для заражения пользователю достаточно посетить сайт с вредоносным баннером с уязвимого компьютера. Подвержены заражению давно не обновлявшиеся компьютеры с незакрытыми уязвимостями CVE-2016-0189 в Internet Explorer и CVE-2015-8651 в Flash.

Matrix шифрует файлы на компьютере жертвы, изменяет их название и присваивает им расширение .pyongyan001@yahoo.com. В каждой зашифрованной папке генерируется текстовый файл с условиями выкупа, аналогичное сообщение выводится на экран компьютера. Сумма выкупа при этом меняется для каждой из жертв и зависит от типа зашифрованных файлов. Интересно, что злоумышленники не просто требуют денег, а подводят под это обоснование — утверждают, что пользователь якобы посещал веб-сайты с детской порнографией и зоофилией.

На выплату выкупа жертве дается 96 часов — после этого каждые 6 часов «долг» будет расти. Но, как и с любым другим шифровальщиком, нет гарантий, что после перевода нужной суммы данные получится восстановить.

Набор эксплойтов RIG пользуется популярностью у киберпреступников, несмотря на общий спад числа кампаний по распространению вредоносной рекламы. С его помощью проводятся массированные атаки по внедрению как спам-ботов, так и шифровальщиков.

Категории: Уязвимости, Хакеры