Активисты security-альянса Malware Must Die (MMD) предупреждают о скором выходе на черный рынок вымогательской программы, рекламируемой под именами Prison Locker и Power Locker. Борцы с интернет-угрозами отслеживают данную разработку с ноября; по их словам, в настоящее время ее автор и его партнер дорабатывают пользовательский интерфейс тулкита и активно привлекают участников хакерских форумов к процессу тестирования. Вирусописатель уже назначил лицензионную плату за свое детище в размере 100 долларов и планирует взимать ее в биткойнах.

По данным MMD, новый блокер написан на С/C++ и загружается в папку временных файлов жертвы с помощью троянского дроппера. После инсталляции Prison Locker шифрует на жестких и общедоступных дисках все данные, кроме системных файлов (.exe, .dll, .sys и др.). Судя по декабрьскому сообщению на Pastebin.com, итоговый вариант зловреда будет использовать криптографический алгоритм Blowfish, создавая отдельный ключ для каждого шифруемого файла. Этот ключ затем шифруется 2048-битным ключом RSA, уникальным для данной зараженной машины, и сохраняется вместе с зашифрованным файлом.

Prison Locker создает также новый рабочий стол и по завершении процесса шифрования выводит на нем полноразмерное сообщение с требованием выкупа. Специальный модуль эффективно блокирует клавиши Windows и Escape и завершает многие Windows-процессы, в том числе explorer.exe, regedit.exe, taskmgr.exe и cmd.exe. Переключение между программами  с помощью Alt+Tab тоже становится невозможным. Более того, каждые несколько миллисекунд зловред проверяет, не ушел ли пользователь с подставного рабочего стола, и в случае «побега» переключает его обратно.

Как и CryptoLocker, новоявленный вымогатель требует уплаты выкупа в указанный срок, после чего ключ для дешифрации якобы будет уничтожен. Оператору зловреда при этом предоставляется возможность изменять этот срок, останавливать или сбрасывать таймер и самостоятельно определять сумму выкупа. Он может также переименовать вредоносный файл и назначить другую папку для его загрузки. Вход в административную панель по умолчанию настроен под admin/admin, но тоже с возможностью кастомизации.

По утверждению автора, Prison Locker снабжен рядом средств самозащиты. Он способен обнаружить запуск на базовой виртуальной машине, в песочнице и под отладчиком.

На настоящий момент исследователям известен сетевой псевдоним вирусописателя — gyx, номер его ICQ, Jabber ID, адрес Gmail, а также ник в Twitter и адрес персональной страницы на blogspot.in. Примечательно, что в Twitter-профиле создатель Prison Locker именует себя «приверженцем интернет-безопасности», «начинающим вирусным аналитиком», а также «программистом на C/C++, осваивающим MASM» (Microsoft Macro Assembler).  Участники MMD уже передали собранную информацию своим коллегам и партнерам из правоохранительных органов и поставили ситуацию на контроль.

Категории: Вредоносные программы