В первых числах августа несколько исследователей, независимо друг от друга, сообщили о появлении нового вымогательского ПО под название ARCrypter. Спустя всего несколько недель шифровальщик достаточно громко заявил о себе, парализовав работу Windows- и Linux-систем одно из правительственных организаций Чили. Следующая крупная атака была осуществлена в октябре – на сей раз на системы Национального института изучения безопасности лекарственных средств и продуктов питания Колумбии.
Чилийский исследователь Герман Фернандес установил, что ARCrypter является абсолютно новым вымогательским ПО, не имеющим родственных связей ни с одним из известных семейств шифровальщиков. Позднее этот вывод был подтвержден и экспертами компании BlackBerry. Теперь же ARCrypter наверняка станет объектом пристального внимания очень большого числа специалистов по кибербезопасности: он вышел на мировую арену. За последние дни его атаки были зафиксированы в Германии, Канаде, Китае, США и Франции.
На данный момент о зловреде известно крайне немного. Главной загадкой остается вектор инфицирования. Пока экспертам удалось лишь обнаружить два URL-адреса AnonFiles, к которым инфицированные устройства обращаются за загрузкой архива win.zip, который, вероятнее всего, содержит и исполняемый файл загрузчика вредоносного ПО. Но как происходит первичное инфицирование, по-прежнему неизвестно. Другая странность состоит в том, что киберпреступники, стоящие за атаками, уверяют, что похищают файлы жертв, прежде чем зашифровать их. Однако своего сайта, куда выкладывались бы похищенные данные, у них нет.
Наконец, удивляют и требуемые суммы выкупа: они не превышают 5 тысяч долларов, что весьма немного для кибервымогательского бизнеса. Столь скромный выкуп позволяет квалифицировать ARCrypter как шифровальщик средней руки, однако он вполне может оказаться крепким орешком для специалистов по кибербезопасности.