Две вредоносные программы с деструктивным функционалом обнаружены специалистами. Исследователи затрудняются с классификацией новых зловредов, поскольку пока не ясно, являются они вымогателями или же вайперами.

Первый образец попался в сети экспертов MalwareHunterTeam. Исследователи назвали программу AVCrypt — по имени исполняемого файла av2018.exe. В комментариях к исходному коду зловреда также встречается название LOL.

Проникнув на компьютер жертвы, вредоносный скрипт пытается удалить установленное на нем антивирусное ПО. В первую очередь AVCrypt выгружает из памяти активные процессы, необходимые для работы Windows Defender и Malwarebytes. Следующим шагом зловред ищет утилиты, зарегистрированные в Центре обеспечения безопасности Windows, и пытается деинсталлировать их.

Помимо этого, AVCrypt останавливает еще ряд системных процессов, отсутствие которых напрямую не влияет на работоспособность ОС, но существенно снижает уровень ее безопасности. Программа изменяет содержимое реестра Windows и запускает на компьютере TOR-клиент для связи с сервером управления в дарквебе.

После небольшой паузы зловред генерирует и отсылает своему автору открытый ключ шифрования, после чего приступает к кодированию пользовательских файлов. Измененные объекты AVCrypt переименовывает, добавляя символ «+» к их названию. Эксперты отмечают, что в алгоритм формирования криптоключа вкралась ошибка, поэтому восстановить информацию с его помощью невозможно.

Программа создает на компьютере текстовый файл +HOW_TO_UNLOCK.txt, однако в нем не содержится ни требований выкупа, ни инструкций по расшифровке данных. Не исключено, что в Интернет утекла отладочная версия зловреда или автор утилиты просто тестирует ее возможности. Исследователи также считают возможным, что создатель AVCrypt вовсе не ищет личной выгоды, а целью атаки является уничтожение данных пользователя.

Так или иначе, пока еще преждевременно говорить о широком распространении зловреда. В Microsoft исследователям сообщили, что их радары засекли всего два экземпляра новой программы, причем один из них, скорее всего, как раз тот, с которым столкнулись в MalwareHunterTeam. В Twitter промелькнуло сообщение из Японии о трояне, отключающем антивирусный софт, но пока не ясно, идет ли речь об AVCrypt или другой угрозе.

Второй зловред обнаружил ИБ-эксперт из Германии Дмитрий Меликов. Программа называется DiskWriter или UselessDisk — по имени исполняемого файла. Вредоносный скрипт действует по классической схеме — заменяет загрузочный сектор жесткого диска собственным, после чего выполняет рестарт системы.

Экран с требованием выкупа, который появляется на зараженном устройстве, предлагает пользователю перевести $300 на анонимный биткойн-кошелек. Судя по всему, зловред уничтожает или шифрует таблицу разделов диска, поэтому восстановление загрузочного сектора стандартными средствами операционной системы результата не приносит.

Программа действует как типичный вымогатель, но ряд признаков указывает на то, что получение выкупа не является целью ее создателя. Все требования содержат один и тот же номер кошелька, автор не оставляет никаких контактов для связи, а послание жертве почти полностью копирует сообщение печально известного зловреда NotPetya. Впрочем, пока информации о новой угрозе слишком мало — исследователи продолжают свою работу.

Трояны, нацеленные на уничтожение данных, являются грозным оружием в руках киберпреступников. Например, церемония открытия Олимпийских игр в Пхенчхане оказалась под угрозой срыва из-за атаки вайпера, пытавшегося удалить информацию на серверах оргкомитета. Зловред, названный Olympic Destroyer, вывел из строя сайт Олимпиады, а также лишил зрителей на стадионе доступа в Интернет.

Категории: Аналитика, Вредоносные программы