Эксперт Лоуренс Абрамс (Lawrence Abrams) из Bleeping Computer предупреждает, что шифровальщики семейства STOP начали загружать похитителя информации Azorult.

Этот коммерческий PSW-троян хорошо известен ИБ-сообществу. Он способен не только воровать учетные данные, но также загружать дополнительные файлы и нередко используется для распространения других зловредов.

Windows-вымогатель STOP появился на радарах исследователей в конце 2017 года и с тех пор время от времени сменяет имя txt-документа с требованием выкупа и расширение, добавляемое к зашифрованным файлам. В январе этого года STOP получил солидное обновление — научился загружать файлы, расширяющие его функциональность. Такие довески, как убедились эксперты, позволяют STOP/Djvu обходить Защитник Windows, блокировать доступ жертвы к ИБ-сайтам и выводить поддельное окно обновления Windows, маскирующее повышенную активность в системе во время шифрования файлов.

Со слов Абрамса, загрузку вредоносного файла, не имеющего отношения к STOP, первым заметил специалист по препарированию вымогательского ПО Майкл Гиллеспи (Michael Gillespie). Трафик, создаваемый этим дополнением, эксперту удалось связать с Azorult. Позже в Bleeping Computer протестировали другой образец шифровальщика, тоже относительно новый, — Promorad; оказалось, что он тоже используется для доставки PSW-трояна.

Файл с Azorult, загружаемый с удаленного сервера STOP/Promorad, именовался 5.exe. Его проверка на VirusTotal уверенно показала опасность содержимого.

Жертвам двойного заражения Абрамс советует как можно скорее сменить пароли к онлайн-аккаунтам, особенно те, что хранились в браузере и могли стать добычей Azorult. Следует также поменять ключи к Skype, Steam, Telegram и FTP-клиентам. Когда конкретно шифровальщик начал распространять Azorult, неизвестно, поэтому указанные меры предосторожности не помешают любой жертве STOP.

Эксперты различают варианты вымогателя по расширениям, добавляемым к зашифрованным файлам. Некоторые из новейших Абрамс привел в своей записи:

  • .blower
  • .djvu
  • .infowait
  • .promok
  • .promorad2
  • .promos
  • .promoz
  • .puma
  • .rumba
  • .tro

Полный список расширений приведен в статье, посвященной STOP, на специализированном сайте ID-Ransomware.

Категории: Вредоносные программы