Обнаружен первый  «саморазмножающийся» шифратор :: Ивановский Торрент трекер
Важное объявление!
У Нас Все раздачи мультитрекерные, при нуле пиров в релизах, можете смело вставать на закачку!
 
Автор Сообщение

HUNTER

Стаж:
4 года 11 месяцев
Сообщений:
66066

Репутация: 101

[+] [-]
Вне форума [Профиль] [ЛС]


Компания ESET предупреждает о появлении новой разновидности трояна-шифратора с уникальным механизмом заражения файлов. Вредоносная программа носит название Win32/Virlock.
Как и другие известные шифраторы, Virlock блокирует рабочий стол инфицированного компьютера, кодирует файлы и выводит на экран требование выкупа. Зловред работает с широким перечнем типов файлов: среди них — .exe, .doc, .xls, .zip, .rar, .pdf, .ppt, .mdb, .mp3, .mpg, .png, .gif, .bmp, .p12, .cer, .psd, .crt, .pem, .pfx, .p12, .p7b, .wma, .jpg и .jpeg. При этом Virlock способен заражать файлы на сетевых дисках и съёмных носителях.
В дополнение к «традиционным» функциям вредоносная программа может инфицировать файлы как полиморфный вирус, встраивая в них свой код. Для этого применяется специальная схема. Вместо обычного для данного типа вредоносного ПО побайтного шифрования, зловред преобразует файл в исполняемый. Для этого Virlock создаёт новый файл с зашифрованным содержимым документа и своим кодом, удаляет оригинальный файл и перезаписывает новый с тем же именем, но с расширением .exe.
Запуск инфицированного файла сопровождается созданием двух новых, осуществляющих дальнейшее заражение системы. Полиморфизм гарантирует уникальность тела вредоносной программы в каждом «обработанном» файле.
Часть кода вымогателя ответственна за отображение пользователю экрана блокировки, при этом применяются уже ставшие типичными методы самозащиты, в том числе завершение процессов проводника и диспетчера задач. Сообщение в окне блокировки содержит текст предупреждения и предложение оплатить сумму выкупа в биткоинах в эквиваленте 250 долларов США.
Любопытно, что Virlock способен выполнять некоторую локализацию интерфейса окна блокировки. Для этого используется соединение с веб-сайтом google.com и дальнейший анализ домена, на который осуществляется перенаправление, например, google.com.au, google.ca, google.co.uk или google.co.nz. Также используется функция GetUserGeoID. Для стран, соответствующих вышеперечисленным доменам, отображается свой флаг, стоимость биткоинов и текущий курс национальной валюты.
Обнаружено уже несколько модификаций вредоносной программы. Кроме того, отмечается, что некоторые жертвы уже заплатили выкуп злоумышленникам. 

_________________
Показать сообщения:    

Текущее время: Сегодня 21:00

Часовой пояс: GMT



Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы