Новости

RSS-трансляция Читать в ВКонтакте Читать в Одноклассниках Наш канал в Яндекс Дзен




14.01.2017 20:01
3736
Вымогатель PayDOS представляет собой пакетный файл и не шифрует данные

Специалист компании Avast сообщил об обнаружении странного вируса-вымогателя PayDOS, который позднее получил официальное название Seprent. Хотя утилита претворяется грозным шифровальщиком, на самом деле файлы не шифруются – вирус просто меняет их название. Исследователь также отметил, что вредоносное приложение изначально создано как обычный пакетный файл (batch file), после чего было произведено конвертирование в исполняемый файл.

Первая версия вредоносной программ, которая получила название PayDOS, при активации извлекает пакетный файл в каталог Temp и осуществляет его запуск. Утилита сканирует директории, прописанные в файле конфигурации, и меняет одну из букв в расширениях файлов. Например, расширения .png могут быть изменены на .dng.

Далее PayDOS демонстрирует пользователю требование выкупа, утверждая, что все файлы надежно зашифрованы. Однако это не так – кроме переименования с файлами ничего не происходит. Более того, в требовании не указываются контактные данные или платежная информация. Пострадавший даже при желании не сможет перевести деньги. Во всех случаях можно использовать один пароль для возврата всех изменений - AES1014DW256. После ввода пароля приложение само изменяет все расширения к прежнему виду.

Следующей модификацией данного вируса является Serpent. Ряд признаков указывает на то, что утилита также находится на стадии разработки. В сообщении присутствует адрес электронной почты, однако такого аккаунта не существует. Serpent также просто редактирует расширения файлов и использует заранее прописанный пароль для отката всех изменений (RSA1014DJW2048). Единственное значимое изменение, которое отличает Serpent от PayDOS, это использование VBS-файла для проговаривания вслух требования выкупа (такая особенность также присутствует в вирусе Cerber).

Лоренс Абрамс (эксперт Bleeping Computer) отметил, что в данный момент PayDOS и Serpent не опасны, а до полноценных шифровальщиков они могут никогда не «дорасти». Собственная статистика исследователя показывает, что только небольшой процент вымогателей проходят стадию тестирования и превращаются в полноценные угрозы.

Понравилась эта новость? Подпишись на нас в соцсетях!


Смотрите ещё