Исследователи из Symantec обнаружили новый криптовымогатель Trojan.Cryptolocker.S, который инфицирует компьютеры австралийских пользователей. Вредоносное ПО шифрует изображения, видео и другие важные документы на зараженном устройстве и требует у жертвы AUS$1000 (около 40 тыс. руб.) за расшифровку файлов. Эксперты из Symantec сообщили, что злоумышленники эксплуатируют в кибератаке тему, стилизованную под известный сериал “Во все тяжкие” (Breaking Bad).
Авторы вредоносного ПО отправляют требование о выкупе, используя картинку с изображением билборда с брендом “Los Pollos Hermanos” из сериала. Наряду с этим, часть адреса электронной почты злоумышленников состоит из цитаты главного героя “Во все тяжкие” Уолтера Уайта – “Я тот, кто стучит”. ИБ-эксперты считают, что мошенники эксплуатируют в кибератаках методы социальной инженерии. Вредоносное ПО поступает через Zip-архив, который использует название крупной курьерской фирмы в имени файла. Zip-архив содержит вредоносный файл под названием PENALTY.VBS (VBS.Downloader.Trojan), которые при выполнении загружает криптовымогатель на компьютер жертвы. Вредонос также загружает и открывает настоящий PDF-файл для того, чтобы обмануть жертву и заставить ее думать, что Zip-архив не содержит вирусы.
Согласно предположениям специалистов из Symantec, злоумышленники эксплуатируют в кибератаке методы, похожие на те, которые используются в тестировании на проникновение с помощью модулей Microsoft PowerShell. Мошенники могут запустить на инфицированном компьютере собственный сценарий PowerShell для работы с криптовымогателем. Вредоносное ПО шифрует файлы, используя случайный ключ продвинутого стандарта шифрования (Advanced Encryption Standard, AES). Ключ кодируется с помощью открытого ключа RSA, так что жертвы могут расшифровать свои файлы только после получения секретного ключа от злоумышленников. (Symantec/NovostIT)