События

Вымогатель Ranscam не шифрует файлы, а просто удаляет их

Вымогатель Ranscam не шифрует файлы, а просто удаляет их

Исследователи подразделения Cisco Talos обнаружили новый вариант вымогательского ПО, который, в отличие от других подобных вредоносов, не шифрует контент на компьютере жертвы, а просто удаляет его. Причем файлы невозможно восстановить, даже если жертва заплатит требуемый выкуп.

Оказавшись на компьютере, Ranscam демонстрирует пользователю требование, в котором утверждается, что все файлы были зашифрованы и перемещены в скрытый раздел. За восстановление контента жертве предлагается заплатить выкуп в размере 0,2 биткойна (приблизительно $130). Троян обещает вернуть контент, если пользователь отправит деньги и нажмет на кнопку подтверждения платежа.

В действительности после нажатия на кнопку появляется сообщение: "Ваш платеж не подтвержден" с угрозой удаления одного файла при каждой неподтвержденной оплате. Это уведомление получают все жертвы в независимости от того заплатили они или нет. По словам исследователей, Ranscam просто отправляет два запроса HTTP GET для получения PNG-изображений, используемых для имитации верификационного процесса. На самом деле, никакой проверки не происходит, а все файлы уже удалены без возможности восстановления.

Ranscam действует следующим образом: на первом этапе исполняемый файл на .NET запускает пакетный скрипт, который размножается и заполняет систему жертвы. Затем скрипт удаляет ряд важных файлов, в том числе Windows .EXE, отвечающий за восстановление системы, службу теневого копирования, а также ключи в реестре Windows, связанные с загрузкой в безопасном режиме. После выполнения данных действий скрипт инициирует принудительное выключение системы.

Судя по всему, авторы Ranscam - всего лишь аматоры, пытающиеся по-быстрому заработать. Однако эффективность такого способа вызывает вполне определенные сомнения, поскольку после 29 июня кошелек Bitcoin, используемый злоумышленниками, не принял ни одной транзакции.

Ranscam – не единственный вымогатель, удаляющий файлы жертвы. К примеру, шифровальщик Jigsaw удаляет по 1 файлу в час, если требуемый выкуп не был выплачен вовремя.

Автор: Сергей Куприянов
13.07.2016 (11:02)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2019

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.