Исследователи рапортуют о появлении вариации вымогателя DetoxCrypto, получившей название Nullbyte. Нового Windows-зловреда обнаружил эксперт компании Emsisoft. К счастью, представитель веб-ресурса BleepingComputer Майкл Гиллеспи (Michael Gillespi) уже успел разработать дешифратор.

Вымогатель притворяется ботом для популярнейшей игры Pokemon Go — Necrobot. Зловред маскируется под перепакованную версию Necrobot и раздается с репозитория GitHub. Ранее уже сообщали о вымогателе, маскирующемся под саму игру.

Если жертва не распознает подлога и скачает Nullbyte, приняв его за легитимное приложение, сначала запускается привычный интерфейс Necrobot, в котором пользователь должен ввести логин и пароль. При нажатии кнопки «Войти» вымогатель имитирует вход на сервер Necrobot. Введенные учетные данные будут отправлены на командный сервер, а шифровальщик начнет свою основную работу: шифрует файлы в директориях «Документы», «Загрузки», «Избранное», «Изображения», «Музыка», «Видео», «Контакты» и «Рабочий стол» при помощи AES-ключа, добавляя к имени расширение _nullbyte.

Также он принудительно завершает процессы сhrome, cmd, taskmgr, firefox, iexplore и opera, чтобы жертва не смогла удалить вымогателя или попросить помощи в вебе. В процессе работы Nullbyte делает скриншоты экрана — пока непонятно для чего. Возможно, они позднее будут использоваться для шантажа или кражи информации.

Как только файлы зашифрованы, зловред блокирует экран сообщением с требованием выкупа в размере 0,1 биткойна.

Благодаря бесплатному дешифратору жертвы могут вернуть свои файлы, не уплачивая выкуп. Масштабы распространения нового шифровальщика неизвестны.

Категории: Вредоносные программы, Главное, Хакеры