Исследователи
Основной отличительной чертой VindowsLocker является то, что зашифровав файлы пользователя, он не отправляет жертву в даркнет, оплачивать выкуп в биткоинах. Вместо этого малварь предлагает пользователю связаться со специалистом «технической поддержки» и уладить вопрос. При этом VindowsLocker пытается создать у жертвы ощущение легитимности происходящего.
Оператор колл-центра, с которым пострадавший связывается по указанному номеру, выдает себя за сотрудника Microsoft. Мошенник инициирует сеанс удаленного доступа к машине жертвы, открывает официальную страницу поддержки Microsoft, а затем быстро вставляет в адресную строку короткий URL, который открывает форму, размещенную на JotForm. Форма призвана собрать личные данные пользователя и узнать информацию о его банковской карте. Если жертва не замечает быстрой подмены, которую осуществил мошенник, она по-прежнему верит, что находится на сайте Microsoft.
Стоит сказать, что оплата выкупа в размере $349,99 ни к чему не приведет, и расшифровать файлы не удастся. Написанный на C# вымогатель использует алгоритм шифрования AES, но специалисты Malwarebytes объясняют, что авторы вредоноса допустили ошибку в коде, из-за чего VindowsLocker не способен автоматически получить ключ шифрования для каждого пользователя.
Вместо командного сервера шифровальщик использует APi Pastebin: в коде VindowsLocker жестко закодированы api_dev_key и api_user_key. С помощью этих ключей вредонос сохраняет имена зараженных машин и рендомные AES-ключи на Pastebin.
«Авторы собирались потом извлечь ключи с Pastebin, залогинившись в свой аккаунт и продав их жертвам. Достаточно умная техника, они пытались избежать проблем, которые может принести создание собственного [управляющего] сервера», — пишут исследователи.
Однако создатели VindowsLocker ошиблись с одним из API-ключей, который предназначался для разовой сессии. Это означает, что со временем такой API-ключ перестает быть действительным. В итоге файлы, связанные с профилем авторов VindowsLocker были опубликованы в открытом доступе из-под гостевой учетной записи. Из-за этого операторы малвари уже не могут воспользоваться AES-ключами, как планировали, и восстановить данные своих жертв. Впрочем, этот прокол не заставил авторов VindowsLocker свернуть свою деятельность.
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
и
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
обнаружили гибридную малварь VindowsLocker, которая вобрала в себя черты сразу нескольких распространенных на сегодня угроз. Вымогательское ПО не только использует API Pastebin и шифрует данные, но также использует тактику фальшивой технической поддержки.Основной отличительной чертой VindowsLocker является то, что зашифровав файлы пользователя, он не отправляет жертву в даркнет, оплачивать выкуп в биткоинах. Вместо этого малварь предлагает пользователю связаться со специалистом «технической поддержки» и уладить вопрос. При этом VindowsLocker пытается создать у жертвы ощущение легитимности происходящего.
Оператор колл-центра, с которым пострадавший связывается по указанному номеру, выдает себя за сотрудника Microsoft. Мошенник инициирует сеанс удаленного доступа к машине жертвы, открывает официальную страницу поддержки Microsoft, а затем быстро вставляет в адресную строку короткий URL, который открывает форму, размещенную на JotForm. Форма призвана собрать личные данные пользователя и узнать информацию о его банковской карте. Если жертва не замечает быстрой подмены, которую осуществил мошенник, она по-прежнему верит, что находится на сайте Microsoft.
Стоит сказать, что оплата выкупа в размере $349,99 ни к чему не приведет, и расшифровать файлы не удастся. Написанный на C# вымогатель использует алгоритм шифрования AES, но специалисты Malwarebytes объясняют, что авторы вредоноса допустили ошибку в коде, из-за чего VindowsLocker не способен автоматически получить ключ шифрования для каждого пользователя.
Вместо командного сервера шифровальщик использует APi Pastebin: в коде VindowsLocker жестко закодированы api_dev_key и api_user_key. С помощью этих ключей вредонос сохраняет имена зараженных машин и рендомные AES-ключи на Pastebin.
«Авторы собирались потом извлечь ключи с Pastebin, залогинившись в свой аккаунт и продав их жертвам. Достаточно умная техника, они пытались избежать проблем, которые может принести создание собственного [управляющего] сервера», — пишут исследователи.
Однако создатели VindowsLocker ошиблись с одним из API-ключей, который предназначался для разовой сессии. Это означает, что со временем такой API-ключ перестает быть действительным. В итоге файлы, связанные с профилем авторов VindowsLocker были опубликованы в открытом доступе из-под гостевой учетной записи. Из-за этого операторы малвари уже не могут воспользоваться AES-ключами, как планировали, и восстановить данные своих жертв. Впрочем, этот прокол не заставил авторов VindowsLocker свернуть свою деятельность.
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
опубликованы технические детали работы шифровальщика. Также исследователи уже выпустили сразу два бесплатных инструмента для спасения зашифрованной информации. Пострадавшим доступен
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
, разработанный экспертами Malwarebytes, и
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
был создан независимым исследователем, известным под псевдонимом
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
.
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
