Размер шрифта:
Уменьшить - Увеличить +
Фон страницы:
Обычный Белый Черный Голубой
Межбуквенный интервал:
Обычный Средний Большой
Изображения:
Включить Выключить
Отключить версию для слабовидящих close
Проект Координационного центра доменов .RU и .РФ
ru
en
Назад
Явление «белого кролика» – на сцену вышел новый зловред-шифровальщик
#шифровальщики
Явление «белого кролика» – на сцену вышел новый зловред-шифровальщик

Полку вымогательского ПО прибыло. С конца декабря исследователи фиксируют атаки нового зловреда-шифровальщика, получившего название White Rabbit («белый кролик»). Несмотря на столь милое название, ничего хорошего знакомство с «дебютантом» не обещает. Первым о появлении White Rabbit сообщил эксперт в изучении вымогательского ПО Майкл Гиллеспи, а несколько дней назад его информацию подтвердили и дополнили специалисты компании Trend Micro.

Исполняемый файл White Rabbit имеет очень малый объем – всего 100 кб – и защищен паролем. При его вводе вредоносное ПО начинает осуществлять сканирование и зашифровку файлов на устройстве. Процесс также распространяется на все подключенные съемные устройства и сетевые хранилища, однако не затрагивает системные папки Windows, чтобы сохранить работоспособность операционной системы. К зашифрованным файлам добавляется расширение .scrypt.

В требовании выкупа указан адрес сайта вымогателей в сети Tor. На сайте публикуются подтверждения успешных атак, а также действует онлайн-чат, посредством которого жертвы могут обсудить со злоумышленниками сумму и способ уплаты выкупа. На его выплату предоставляется 4 дня. При несоблюдении этого условия, хакеры угрожают выставить похищенные перед зашифровкой сведения на продажу, а также направить их в органы, обеспечивающие надзор за безопасностью хранения данных. Эта угроза чревата для жертв штрафами, которые могут оказаться даже более крупными, чем требуемый выкуп.

Изучив образец White Rabbit, которым в конце прошлого года были инфицированы системы одного из банков США, специалисты Trend Micro предположили, что за его созданием и распространением стоит киберпреступная группировка FIN8. Главным аргументом в пользу этой версии является то, что вредоносное ПО использует ранее не встречавшуюся версию бэкдора Badhatch (также известен как Sardonic). Этот бэкдор является одним из «эксклюзивных» инструментов FIN8, а группировка известна тем, что не делится с кем-либо своими  разработками. Такое развитие событий является довольно неожиданным, поскольку ранее FIN8 занималась почти исключительно похищением данных банковских карт, инфицируя вредоносным ПО терминалы оплаты.