Malwarebytes и независимый исследователь @TheWack0lian выпустили дешифраторы для нового вымогателя, замеченного исследователем Якубом Крустеком (Jacub Kroustek) из AVG.

Шифровальщик получил название VindowsLocker из-за расширения, которое он добавляет к имени зашифрованного файла, — «.vindows». Его отличительная особенность — заимствование некоторых техник из мошеннических схем на основе лжетехподдержки. Но тогда как обычно лжетехподдержка использует фальшивые экраны блокеров, чтобы побудить жертву позвонить и затем заплатить за предоставленные «услуги» по исправлению ситуации, VindowsLocker действует наоборот. В атаке используется реальная страница техподдержки Windows, которая дает жертвам ощущение безопасности. По данным Malwarebytes, мошенники, притворяющиеся операторами техподдержки, действуют из Индии.

VindowsLocker инструктирует жертв позвонить по «номеру техподдержки» в call-центр, хотя обычно вымогатели используют для коммуникации с пользователями сайт в Дарквебе. Злоумышленники требуют $349,99 за разблокирование компьютера, но после того, как они получают деньги, файлы все равно невозможно расшифровать: авторы вымогателя допустили ряд ошибок при написании кода и потеряли доступ к индивидуальным ключам шифрования.

VindowsLocker написан на C# и использует алгоритм шифрования AES. Шифрованию подвергаются файлы с популярными расширениями .txt, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .odt, .jpg, .png, .csv, .sql, .mdb, .sln, .php, .asp, .aspx, .html, .xml, .psd.

Зашифровав файлы, зловред сообщает об этом пользователю:

vindowslocker

В записке указан американский телефонный номер, по которому нужно позвонить «специалисту высочайшего уровня», который исправит ситуацию за $349,99.

VindowsLocker также отличается от собратьев тем, что не использует C&C-сервер для хранения ключей, а вместо этого полагается на API Pastebin. Ключи api_dev_key и api_user_key прописаны в коде зловреда, чтобы он мог сохранить название зашифрованного компьютера и случайный AES-ключ на странице Pastebin, с которой позже автор зловреда собирался получать ключи и отправлять их жертве после уплаты выкупа. Этот метод позволяет злоумышленникам избежать содержания собственного сервера. Но из-за ошибки в использовании одного из API-ключей авторы VindowsLocker не могут получить доступ к AES-ключам, а жертвы, соответственно, не могут расшифровать свои файлы, даже заплатив выкуп. Однако это не остановило злоумышленников, и они продолжили вымогать деньги у пользователей.

Если жертва звонит на «номер техподдержки», оператор получает доступ к компьютеру через инструмент удаленного администрирования. Злоумышленник открывает официальную страницу техподдержки Microsoft и быстро вставляет короткую ссылку во встроенный поисковик. Большинство пользователей не успевают заметить этого.

На радость пользователям, пострадавшим от VindowsLocker, уже доступны два дешифратора, восстанавливающих файлы без надобности платить выкуп.

Лжетехподдержка — большая проблема для пользователей, особенно для тех из них, кто не обладает достаточной технической осведомленностью. В 2014–2015 годах в США на обман со стороны людей, прикрывающихся вывеской «Техподдержка Microsoft», пожаловались более 170 тыс. человек. Кроме того, по оценкам Американской ассоциации пенсионеров, в 2015 году порядка 3,3 млн американцев заплатили злоумышленникам, маскирующимся под сотрудников техподдержки, более $1,5 млрд.

Категории: Вредоносные программы, Кибероборона, Мошенничество, Хакеры