Программное обеспечение

Троянец-блокировщик Cryzip: ЛК предоставляет бесплатный деблокер

13 марта аналитиками ЛК была обнаружена новая модификация троянца Cryzip Trojan-Ransom.Win32.Cryzip.c. Эта вредоносная программа упаковывает файлы пользователя в запароленные zip-архивы.

Заражение зловредом осуществляется через сайты, содержащие контент для взрослых. Попав на компьютер, троянец начинает поиск по нескольким десяткам популярных расширений, в том числе .rar, .zip, .7z, .pdf, .djvu, .txt, .xls, .xlsx, .rtf, .doc .docx, .htm, .html, .mht, .jpg, .jpeg и другим. Для каждого найденного файла создается архив _crypt_.rar, затем оригинал удаляется без возможности восстановления. Разархивировать файлы можно с помощью специальной программы, созданной авторами зловреда. За пароль от нее злоумышленники требуют 2000 рублей. Программа выложена на файлообменных серверах. Для ее активации необходимо ввести код, который будет получен в переписке с авторами зловреда после произведения оплаты. Адрес и способ оплаты указываются в письме.

За последние полгода количество вредоносных программ-вымогателей значительно возросло, причем появилась тенденция к их глобальному распространению. Программы, подобные Cryzip, перестали быть национальной проблемой. Если прежде 90% жертв подобных зловредов составляли российские пользователи, то сейчас атакам подвергаются пользователи в 143 странах мира. На прошедшей неделе 23% заражений пришлось на зарубежные страны, в числе которых оказались Англия, Франция, Италия, Испания, Португалия, Польша, США, Мексика, Египет, Саудовская Аравия, Индия и Япония.

По нашим данным, случаи заражения Cryzip были зафиксированы не только в России, но и в Казахстане, Латвии, Польше, Республике Молдова, Египте, во Франции, Индии, Италии, Мексике, Саудовской Аравии, Испании, США, на Украине, а также в других странах.

Для предотвращения заражения пользователям продуктов «Лаборатории Касперского» рекомендуется обновить антивирусные базы.

В помощь тем, чьи компьютеры уже заражены зловредом, специалистами «Лаборатории Касперского» разработали генератор паролей для расшифровки архивов.

Для получения пароля в первое поле необходимо ввести cryzip, а в поле «Текст сообщения» — идентификатор (ID), записанный в файле auto_rar_report.txt, где вредоносная программа генерирует инструкцию «Как вернуть ваши файлы»:

Текст сообщения автоматически генерируемого троянцем:

Троянец-блокировщик Cryzip: ЛК предоставляет бесплатный деблокер

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

MosaicRegressor: угроза в недрах UEFI

Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

Microcin снова в деле

В феврале 2020 года мы обнаружили троянца на ПК дипломатической организации. Мы с высокой степенью уверенности приписываем эту кампанию группе SixLittleMonkeys (также известной как Microcin).

Эксплойты нулевого дня в операции WizardOpium

Еще в октябре 2019 года мы обнаружили классическую атаку типа watering hole на сайт, публикующий новости Северной Кореи. Злоумышленники использовали цепочку уязвимостей нулевого дня в Google Chrome и Microsoft Windows.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике