ИБ-эксперт Барт Блейз (Bart Blaze) опубликовал в своем блоге информацию о новом вайпере. Программа требует выкуп за декодирование данных, однако на деле уничтожает информацию на компьютере. Зловред получил имя RedEye, а его автор, возможно, причастен к созданию других шифровальщиков.

Исследователь получил образец вымогателя в сообщении от анонимного пользователя Twitter. Удивление эксперта вызвал относительно большой размер исполняемого файла — зловред весит 35 Мб.

Это вызвано тем, что программа злоумышленника включает в себя несколько графических и аудиофайлов. Так, например, три объекта в формате .wav отвечают за воспроизведение пугающих звуков во время работы вайпера. Кроме того, зловред использует анимированные GIF-изображения.

Исполняемый файл обфусцирован при помощи утилиты ConfuserEx и других инструментов. Исходники вайпера содержат в себе код еще одной программы, предназначенной для замены главной загрузочной записи (MBR) компьютера.

После запуска RedEye отключает диспетчер задач и скрывает диски на устройстве жертвы. Программа выводит на экран сообщение о том, что файлы на компьютере зашифрованы при помощи алгоритма AES256, и требует выкуп в размере 0,1 биткойна.

На выполнение требований вымогателя жертве дается четыре дня. Зловред предупреждает, что после истечения этого срока уничтожит все данные и выведет компьютер из строя. Однако, как отмечает исследователь, несмотря на утверждения преступника, пользовательские файлы не шифруются, а заменяются на последовательность нулевых байтов.

RedEye имеет несколько дополнительных функций, среди которых “Просмотр зашифрованных объектов”, “Расшифровка файлов”, “Поддержка” и “Уничтожение компьютера”.

“Уничтожение” устройства подразумевает собой перезагрузку компьютера и перезапись MBR — точно так же, как и по истечении срока оплаты выкупа.

Блейз считает, что RedEye создан не для получения прибыли, а для демонстрации способностей его автора. Киберпреступник, стоящий за новым зловредом, называет себя iCoreX. Он утверждает, что также создал вымогатели Annabelle и Jigsaw.

Оба шифровальщика наделали много шума. Jigsaw пугал жертву маской из фильма “Пила” и каждый час удалял часть закодированных файлов. Впрочем, ИБ-специалисты смогли быстро разработать защитное решение. По мнению экспертов, автора вредоносной программы больше интересовала игра с пользователем, а не получение денег.

Annabelle угрожал жертве широким набором деструктивных функций, однако и его алгоритмы шифрования были взломаны специалистами по информационной безопасности. К сожалению, в случае с RedEye аналитики, похоже, бессильны — восстановить информацию можно, только если вовремя остановить процесс уничтожения данных.

Категории: Вредоносные программы, Мошенничество, Хакеры