Описание вредоносного ПО

Вымогатель для любопытных

Совсем недавно мы обнаружили новый троянец-вымогатель Trojan-Ransom.Win32.Vkont.a. Распространяется он с сайта, на котором предлагается скачать «Программу для взлома контакта по ID». Оформление страницы, на которой предлагается скачать программу, якобы позволяющую читать чужие сообщения, напоминает главную страницу сайта «ВКонтакте».

Фрагмент сайта, с которого распространяется вымогатель

Когда зловред запускается на компьютере пользователя, на экране появляется окно с предложением купить программу «VKontakte-HACK». В качестве подарка к этой программе прилагаются: «Программа для получения пароля к электронному ящику», «Программа для составления персонального гороскопа», «Программа для подбора причёски». В общем, набор опций для любопытных пользователей.

Окно с навязчивым предложением закрыть нельзя, чтобы от него избавиться, пользователь должен отправить SMS на премиум-номер. Что интересно, этот троянец отличается от своих сородичей тем, что позиционирует блокирующее окно как «рекламную заставку».

 

Окно, которое открывает Trojan-Ransom.Win32.Vkont.a

Сервис «Deblocker», предоставляемый «Лабораторией Касперского», позволяет сгенерировать код, который троянец ожидает в поле ввода. Если ввести корректный «пароль», то зловред разблокирует компьютер и скачает архив VK-Hack.zip. В этом архиве содержится пять папок: «Взлом Вконтакте», «Взлом электронной почты», «Персональный гороскоп», «Подбор прически» и «Тест на сексуальность».

Я решил проверить, что же скрывается под названием «Взлом Вконтакте».

Окно программы «Взлом ВКонтакте»

Оказалось, что это программа для переборки паролей различных почтовых серверов: pop.mail.ru, pop.yandex.ru, pop.by.ru, pop.jino-net.ru, pop.mylivepage.ru, pop.ucoz.ru. С ее помощью можно взломать почтовый ящик пользователя и при некоторых навыках получить доступ к его странице в социальной сети. Аналогичный функционал и у программы «Взлом электронной почты» . Остальные «подарки» представляют собой ShareWare – версии популярного софта.

Если пользователь, заплативший за отправленное SMS-сообщение, будет в результате разочарован, мы ему сочувствовать не станем. Потому что, во-первых, нехорошо читать чужие письма, а во-вторых, для любопытных и беспринципных все могло закончиться гораздо хуже, чем загрузка бесполезной программы «Подбор прически».

Вымогатель для любопытных

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Техники, тактики и процедуры атак на промышленные компании

В 2022 году мы расследовали серию атак на промышленные компании в Восточной Европе. В ходе кампаний атакующие стремились организовать постоянно действующий канал для вывода украденных данных, включая данные, размещенные на физически изолированных (air-gapped) системах.

Операция Триангуляция: ранее неизвестная целевая атака на iOS-устройства

В процессе мониторинга собственной корпоративной Wi-Fi сети, мы обнаружили подозрительную активность нескольких iOS-устройств. В результате анализа были обнаружены следы ранее неизвестной вредоносной программы.

Не только стилер: бэкдор Gopuram распространялся посредством атаки на цепочку поставок 3CX

В ходе изучения атаки 3CX на одном из компьютеров мы обнаружили файл guard64.dll. Библиотека с таким же именем использовалась в недавних развертываниях бэкдора, который мы назвали Gopuram и отслеживаем с 2020 года.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике