Новый зловред-шифровальщик получил имя CoronaVirus

В сети распространяется новый зловред-шифровальщик, названный своими создателями CoronaVirus. Стоящие за операцией злоумышленники создали сайт, имитирующий веб-страницу WiseCleaner – популярного инструмента для оптимизации Windows-систем. Его посетителям предлагается загрузить установочный файл WSHSetup.exe. Под видом WiseCleaner он и устанавливает на устройства новое вредоносное ПО.

CoronaVirus зашифровывает все файлы с расширениями .bak, .bat, .doc, .jpg, .jpe, .txt, .tex, .dbf, .xls, .cry, .xml, .vsd, .pdf, .csv, .bmp, .tif, .tax, .gif, .gbr, .png, .mdb, .mdf, .sdf, .dwg, .dxf, .dgn, .stl, .gho, .ppt, .acc, .vpd, .odt, .ods, .rar, .zip, .cpp, .pas, .asm, .rtf, .lic, .avi, .mov, .vbs, .erf, .epf, .mxl, .cfu, .mht, .bak, и .old. Далее он выводит на экран требование выкупа. В нем указан адрес электронной почты, по которому следует связаться с вымогателями. Интересно, что этот адрес «зашит» в коде зловреда, сумма выкупа составляет весьма скромные по нынешним меркам 0,008 биткоина (порядка 50 долларов), а требование выкупа содержит еще и странный призыв жертвовать средства на президентскую выборную кампанию в США. Все это абсолютно нетипично для зловредов-шифровальщиков.

Возможное объяснение такого необычного поведения состоит в том, что при загрузке файла WSHSetup.exe с фальшивого сайта WiseCleaner одновременно с CoronaVirus на устройства устанавливается и троянец Kpot. Это хорошо известное вредоносное ПО, способное похищать самый широкий спектр данных, включая сохраненные логины и пароли, номера криптовалютных кошельков и т.д. Исследователи считают, что CoronaVirus служит лишь «ширмой», маскирующей атаки Kpot. Некоторые специалисты даже предполагают, что CoronaVirus стирает, а не зашифровывает данные, и их восстановление едва ли возможно. В любом случае, первое, что следует сделать жертвам атак CoronaVirus – использовать другое устройство, чтобы немедленно изменить пароли своих учетных записей во всех онлайн-сервисах. В противном случае, с высокой степенью вероятности это сделают киберпреступники.


Источник:  Bleepingcomputer

Возврат к списку