Google Docs служит командным сервером для трояна-вымогателя cuteRansomware

Исследователи обнаружили новое семейство вредоносных программ, получившее название cuteRansomware. Его представители, как и другие трояны-вымогатели, шифруют файлы жертв и требует выкуп, но сохраняют ключи от файлов не на специальном командном сервере, а в Google Docs.

В основу cuteRansomware легла разработка китайского программста Ма Шэнгхао — программа my-Little-Ransomware, выложенная на Github. Согласно описанию, она представляет собой простенький модуль для создания троянов-вымогателей, написанный на C#.

Это не первый случай, когда опенсорсные эксперименты превращаются в реальный вредоносный софт. То же самое произошло с EDA2 и Hidden Tear — парой проектов с открытыми исходниками, которые опубликовал турецкий специалист по информационной безопасности Утку Сен. Есть и более свежий пример: демонстрация эксплойта в VBScript почти сразу же перекочевала с Github в эксплойт-кит Neutrino, Это определённо не входило в планы автора, но что он может поделать?

Первые трояны, основанные на my-Little-Ransomware, были замечены в середине июня. Их обнаружил специалист компании AVG Якуб Крустек. А несколько дней назад фирма Netskape обратила внимание на появление ещё одного похожего трояна. Судя по всему, он тоже действует с июня. В его коде присутствует строка cuteRansomware, которая и дала имя всему семейству.

Жертвами cuteRansomware становятся в певую очередь пользователи из Китая. Даже сообщение с требованиями выкупа написано по-китайски. Автор трояна, судя по всему, тоже оттуда. Об этом свидетельствуют комментарии в коде на китайском языке.

Попав на компьютер, cuteRansomware использует RSA для шифрования файлов пользователя. Он пересохраняет их с расширением «encrypted», записанным на китайском языке, а затем отправляет ключи в Google Docs. Интересно, что этот вариант трояна пропускает некоторые типы файлов, которые шифровал my-Little-Ransomware.

Компания Netskape уведомила Google о существовании cuteRansomware, но реакции пока не последовало. Форма, используемая троянам, по-прежнему доступна на Google Docs.