Специалисты в сфере информационной безопасности сообщили о новой вредоносной программе — шифровальщике T1Happy. Первым его обнаружил пользователь Twitter под ником Petrovic.

В отличие от большинства троянов, T1Happy не является вымогателем в привычном смысле этого слова. Все, что он требует от жертвы — самостоятельно декомпилировать его и в следующий раз быть осторожней.

Проведенный исследователями анализ показал, что шифровальщик написан на C# с использованием Visual Studio. При запуске он пытается получить максимально возможный уровень привилегий, не вызывая диалог контроля учетных записей UAC. Затем T1Happy шифрует файлы ключом AES, добавляя к ним расширение .happy. При этом, судя по сообщениям специалистов и авторов зловреда, проблем с восстановлением файлов возникнуть не должно.

Шифровальщик в первую очередь ориентирован на англоязычную аудиторию и пока не успел широко распространиться. На компьютер жертвы он может попасть в виде вложения из email-спама или зараженного установочного пакета, а также через атаку на RDP.

T1Happy не требует выкупа и не дает инструкций по восстановлению файлов. В единственном текстовом файле — HIT BY RANSOMWARE.txt — жертве предлагают выяснить метод шифрования, декомпилировав зловред.

Поскольку впервые троян обнаружили 23 января, на момент публикации на VirusTotal его распознают не все антивирусы. Взаимосвязей между T1Happy и другими шифровальщиками пока не обнаружено.

В качестве мер предосторожности специалисты рекомендуют использовать комплексную антивирусную защиту класса Internet Security или Total Security, или хотя бы не пренебрегать регулярным резервным копированием системных и важных файлов.

Новый шифровальщик — не единственный троян с необычными запросами. В сентябре 2017 года исследователи обнаружили блокировщик экрана nRansom, требующий у жертвы вместо денег ее фотографии в обнаженном виде.

Категории: Аналитика, Вредоносные программы