Создатель каталога шифровальщиков ID Ransomware Майкл Гиллеспи (Michael Gillespie) обнаружил новую разновидность вымогателя под названием CommonRansom. ИБ-специалисты пока не смогли найти образец самого вредоноса: Гиллеспи собирал сведения о нем на основе записки о выкупе и закодированных файлов, которые одна из жертв загрузила на его платформу.

Список целей зловреда довольно стандартен — офисные документы, базы данных, архивы, фото-, аудио- и видео-файлы. После завершения шифрования имена объектов остаются прежними, однако к ним добавляется расширение .[old@nuke.africa].CommonRansom. Первая его часть представляет собой адрес электронной почты, по которому можно связаться с мошенниками.

Исследователь обратил внимание на интересную особенность вредоноса: в условия выкупа добавлено требование предоставить злоумышленникам доступ к компьютеру по протоколу удаленного рабочего стола (RDP) и выслать учетные данные администратора.

В записке говорится, что пострадавший пользователь должен перечислить на кошелек вымогателей 0,1 биткойна (около 41 тыс. рублей по текущему курсу), после чего выслать указанный злоумышленниками ID, свой IP-адрес и номер порта RDP, логин и пароль администратора, а также указать время оплаты. На выполнение условий жертве дается 12 часов, в противном случае преступники угрожают уничтожить пароль дешифрования.

Как отмечает основатель издания BleepingComputer Лоуренс Абрамс (Lawrence Abrams), «эти требования никому не стоит выполнять, поскольку, как только атакующие подключатся [к устройству], вы потеряете контроль над своим компьютером и не будете знать, что они делают. Может, они и расшифруют ваши файлы, но одновременно получат возможность устанавливать вредоносное ПО, удалять и красть данные».

Удалось установить, что указанный для платежей криптокошелек 35M1ZJhTaTi4iduUfZeNA75iByjoQ9ibgF ранее уже использовался. В частности, с него переводили около 66 биткойнов на адрес 1CnCfvUTFQf11QNeBEpk29rRXfNFg75R9n, через который с конца июля 2018 года прошло 11 тыс. монет. Эксперты высказали предположение, что такая система транзакций призвана усложнить отслеживание средств правоохранительными органами.

Протокол удаленного рабочего стола — один из самых популярных векторов кибератак. Так, в феврале текущего года злоумышленники использовали RDP для проникновения в сети малых и средних компаний и кодирования данных на серверах и рабочих станциях при помощи вымогателя SamSam. В апреле эксперты обнаружили, что новые вариации шифровальщика Matrix теперь совершают нападения только через RDP.

Для снижения уровня опасности Microsoft запретил применять протокол пользователям, которые не установили мартовское обновление безопасности, закрывшее критическую уязвимость CVE-2018-0886.

Категории: Вредоносные программы