Независимый исследователь, ведущий свой блог под ником Kafeine, предупреждает об экспансии вредоносной программы Revoyem, он же DirtyDecrypt. Этот Windows-вымогатель был впервые обнаружен в марте 2013 года на территории Германии и Великобритании. По свидетельству Kafeine, ныне ареал обитания Revoyem вышел за рамки Западной Европы и охватывает 15 стран, в том числе США, Испанию, Францию, Италию, Турцию и Канаду.

Данный блокер распространяется через редиректы на порносайтах. Кликнув по вредоносному баннеру, установленному в рамках партнерской программы TrafficHolder, посетитель попадает на страницу с детским порно, которая к тому же служит плацдармом для набора эксплойтов Styx. При успешной отработке эксплойта на машину жертвы загружается Revoyem, который блокирует доступ к системе и выводит во весь экран сообщение, обвиняющее пользователя в просмотре противозаконного контента. «Эффект тем сильнее, что это правда, — отмечает Kafeine. — Вы только что просмотрели запрещенный контент, хотя и не по своей воле».

Такая схема обычна для программ-вымогателей, хотя ранее распространители Revoyem воздерживались от показа детского порно. Блокирующий доступ к системе баннер имитирует уведомление от блюстителей правопорядка. Иногда такие баннеры локализованы — жителя США, например, шантажируют, прикрываясь именем ФБР, и требуют уплатить «штраф» за разблокировку. В сообщениях «от ФБР» приводятся IP-адрес и местонахождение пользователя, а также запрещенные фото, логи визитов с данного IP-адреса и список статей, которые нарушила жертва.

«В случае уплаты штрафа все собранные против вас улики будут удалены из доказательной базы», — говорится на последней странице, отображаемой Revoyem. Платеж предлагается произвести с помощью MoneyPak или Paysafeсard.

Как показал анализ, проведенный экспертами Malwr.com, данный зловред в фоновом режиме ворует информацию из браузера, отключив диспетчер задач, и при инсталляции обеспечивает свой автозапуск при каждом старте Windows. Список ассоциированных с Revoyem доменов по состоянию на 12 сентября приведен на сайте Pastebin.

Категории: Вредоносные программы, Главное