Эксперты Malwarebytes обнаружили модификацию блокера Reveton, которая не только занимается шантажом, но и загружает генератор Bitcoin’ов. По всей видимости, схема вымогательства с участием вредоносной программы оказалась не очень рентабельной, и, не желая зависеть от капризов своих жертв, операторы Reveton нашли еще один, более надежный способ заработка.

Троянский блокер Reveton (в классификации «ЛК» Trojan-Ransom.Win32.Foreign) появился в Сети более двух лет назад и известен в быту как «вирус-полицейский». Распространяется он в основном через рекламные баннеры на порносайтах, перенаправляющие посетителя на площадки с зксплойтами. При запуске шантажист выводит во весь экран грозное сообщение от имени блюстителей правопорядка, обвиняя жертву в скачивании пиратского контента или детской порнографии, и требует незамедлительной уплаты «штрафа». При этом доступ к системе эффективно блокируется. Вымогательские сообщения Reveton используют локализованные шаблоны с логотипами местных правоохранительных органов.

Bitcoin-майнеры — инструмент вполне легальный, и многие участники Сети им пользуются, чтобы немного подзаработать. Разумеется, такой источник доходов не мог не привлечь внимание сетевого криминала. В последние годы Bitcoin-майнер все чаще встречается в арсенале вредоносных программ. После его скрытной установки и прописки на автозапуск зараженный компьютер начинает генерировать биткоины в пользу операторов зловреда.

По свидетельству Malwarebytes, новая итерация Reveton вначале выполняет свои основные функции: утверждается в системе, связывается с C&C, закачивает локализованную заставку с требованием выкупа и выводит ее на экран, блокируя доступ к рабочему столу. Последним этапом рабочего цикла зловреда является загрузка и запуск Bitcoin-майнера. Таким образом, помимо социальной инженерии эффективность которой непредсказуема, в распоряжении операторов Reveton всегда есть «план Б» — мобилизация мощностей зараженных машин для создания виртуальной валюты.

Категории: Вредоносные программы