Исследователи компании ESET сообщили о появлении нового вымогательского ПО, пришедшего на смену известному шифровальщику TeslaCrypt. По словам специалистов, семейство вымогателей Crisis способно шифровать файлы на жестких, съемных и сетевых дисках. Вредонос использует особые техники и сильные алгоритмы шифрования, что значительно усложняет восстановление документов.
Злоумышленники используют несколько подходов для распространения Crisis. В большинстве случаев вредоносное ПО кроется в приложениях к спам-письмам, содержащих файлы с двойным расширением. Также Crisis может распространяться под видом безобидных установщиков для различных легитимных приложений.
Инфицировав компьютер, вредонос создает запись в реестре и приступает к шифрованию всех файлов на устройстве, за исключением системных, добавляя расширение на .ID%variable%.%email_address%.xtbl. Далее Crisis отправляет список, содержащий имя компьютера и количество зашифрованных файлов (а также их форматы), на C&C-сервер злоумышленников. Затем вымогатель помещает в системную папку Desktop текстовый файл, сопровождающийся изображением с требованием выкупа. За восстановление зашифрованных документов злоумышленники требуют от 400 до 900 евро. Выплата осуществляется в биткойнах. (ESET/NovostIT)