Обнаруженный Symantec блокер-шифровальщик примечателен тем, что позволяет жертвам получить декриптор бесплатно, если те согласны ждать один месяц. В остальном новый вымогатель аналогичен своим собратьям: ищет и шифрует файлы с заданными расширениями и требует выкуп за расшифровку.

По свидетельству экспертов, используемый данным блокером криптоключ создается на месте с помощью стандартных возможностей Windows. Сгенерированный ключ шифруется публичным RSA, включенным в файл конфигурации зловреда, и вместе с датой заражения сохраняется в файле how to get data.txt, содержащем инструкцию для пользователя. Такие TXT-файлы создаются во всех папках, где есть зашифрованные файлы, — последние отличает от прочих дополнительное расширение .OMG!.

Пользователю предлагается отправить операторам зловреда письмо, вложив TXT-файл и несколько файлов, зашифрованных блокером. В ответ жертве заражения обещают выслать расшифрованные пробники и сообщить, как можно получить декриптор. Злоумышленники при этом уверяют жертву, что они «не скамеры» и ее файлы им ни к чему. Они заявляют также, что инструмент для расшифровки можно получить бесплатно, но лишь через месяц. Для этого нужно отправить на указанный адрес запрос сразу же после заражения. «Восстановлены будут абсолютно все данные, — пишут вымогатели в постскриптуме. — Гарантия тому — расшифрованные образцы и положительные отзывы других пользователей».

Symantec полагает, что, в отличие от прочих случаев вымогательства со взятием заложников, дешифрация ключа здесь осуществляется не автоматизированными методами, а вручную. Временная метка (дата заражения), скорее всего, помогает операторам зловреда определить, действительно ли претендент имеет право на бесплатный «сервис». Тем не менее эксперты напоминают: даже если допустить, что «совестливые» вымогатели выполнят свое обещание, лучшей защитой от блокеров такого типа является резервирование.

Категории: Вредоносные программы