Описание вредоносного ПО

Вымогатель для любопытных

Совсем недавно мы обнаружили новый троянец-вымогатель Trojan-Ransom.Win32.Vkont.a. Распространяется он с сайта, на котором предлагается скачать «Программу для взлома контакта по ID». Оформление страницы, на которой предлагается скачать программу, якобы позволяющую читать чужие сообщения, напоминает главную страницу сайта «ВКонтакте».

Фрагмент сайта, с которого распространяется вымогатель

Когда зловред запускается на компьютере пользователя, на экране появляется окно с предложением купить программу «VKontakte-HACK». В качестве подарка к этой программе прилагаются: «Программа для получения пароля к электронному ящику», «Программа для составления персонального гороскопа», «Программа для подбора причёски». В общем, набор опций для любопытных пользователей.

Окно с навязчивым предложением закрыть нельзя, чтобы от него избавиться, пользователь должен отправить SMS на премиум-номер. Что интересно, этот троянец отличается от своих сородичей тем, что позиционирует блокирующее окно как «рекламную заставку».

 

Окно, которое открывает Trojan-Ransom.Win32.Vkont.a

Сервис «Deblocker», предоставляемый «Лабораторией Касперского», позволяет сгенерировать код, который троянец ожидает в поле ввода. Если ввести корректный «пароль», то зловред разблокирует компьютер и скачает архив VK-Hack.zip. В этом архиве содержится пять папок: «Взлом Вконтакте», «Взлом электронной почты», «Персональный гороскоп», «Подбор прически» и «Тест на сексуальность».

Я решил проверить, что же скрывается под названием «Взлом Вконтакте».

Окно программы «Взлом ВКонтакте»

Оказалось, что это программа для переборки паролей различных почтовых серверов: pop.mail.ru, pop.yandex.ru, pop.by.ru, pop.jino-net.ru, pop.mylivepage.ru, pop.ucoz.ru. С ее помощью можно взломать почтовый ящик пользователя и при некоторых навыках получить доступ к его странице в социальной сети. Аналогичный функционал и у программы «Взлом электронной почты» . Остальные «подарки» представляют собой ShareWare – версии популярного софта.

Если пользователь, заплативший за отправленное SMS-сообщение, будет в результате разочарован, мы ему сочувствовать не станем. Потому что, во-первых, нехорошо читать чужие письма, а во-вторых, для любопытных и беспринципных все могло закончиться гораздо хуже, чем загрузка бесполезной программы «Подбор прически».

Вымогатель для любопытных

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике