Mark of Zorro: новый вариант программы-вымогателя набирает обороты

Программа-вымогатель, известная как Aurora, получила некоторое уведомление в конце лета 2018 года. С тех пор вредоносная программа была улучшена и теперь распространяется под названием программы-вымогателя Zorro. Согласно Bleeping Computer, программа-вымогатель Zorro оказалась относительно эффективной формой оплаты для киберпреступников. На момент написания этой статьи программа-вымогатель Zorro вымогала платежи на сумму около 12 000 долларов США в биткойнах, при этом общая сумма составляла немногим более 100 платежей выкупа от зараженных пользователей.

У программы-вымогателя Zorro нет подтвержденного метода распространения, однако есть опубликованные адреса электронной почты, связанные с атаками, что заставляет подозревать электронную почту в качестве основного вектора атаки. Как отметил Лоуренс Абрамс в своей статье Bleeping Computer, программа-вымогатель Zorro устанавливается путем «взлома компьютеров, на которых запущены службы удаленных рабочих столов… которые подключены к Интернету… злоумышленники подбирают пароль для учетных записей RDP, чтобы получить доступ к компьютеру и установить программу-вымогатель».

При заражении жертву встречает следующее сообщение:

=========================# zorro вымогатель #==================== ======
ИЗВИНИТЕ! Ваши файлы зашифрованы.
Содержимое файла зашифровано случайным ключом.
Случайный ключ зашифрован открытым ключом RSA (2048 бит).
Мы НАСТОЯТЕЛЬНО РЕКОМЕНДУЕМ вам НЕ использовать какие-либо «инструменты расшифровки».
Эти инструменты могут повредить ваши данные, что сделает восстановление НЕВОЗМОЖНЫМ.
Также рекомендуем не обращаться в компании по восстановлению данных.
Они просто свяжутся с нами, купят ключ и продадут его вам по более высокой цене.
Если вы хотите расшифровать свои файлы, вам необходимо получить у нас RSA-ключ.
—
Чтобы получить RSA-ключ, выполните следующие действия по порядку:
1. заплатите эту сумму 500$ на этот BTC-кошелек: 18sj1xr86c3YHK44Mj2AXAycEsT2QLUFac
2. написать на почту [email protected] или [email protected] указав в письме этот ID-[id] и BTC-кошелек, с которого производилась оплата.
В ответном письме вы получите RSA-ключ и инструкции, что делать дальше.
Мы гарантируем вам восстановление файлов, если вы все сделаете правильно.
=========================# zorro вымогатель #==================== ======

К счастью, есть бесплатное исправление для расшифровки файлов, захваченных программой-вымогателем Zorro (его обнаружили исследователи Майкл Гиллеспи и Франческо Мурони). Если вы заразились, перейдите по ссылке на эту тему справки и поддержки Aurora и прокомментируйте сообщение на форуме, чтобы получить помощь. Исследователи и люди из Bleeping Computer действительно превзошли себя в этом и заслуживают огромной благодарности от мира информационной безопасности за их усилия. Хотя это, вероятно, не последний раз, когда мы видим варианты программ-вымогателей Aurora/Zorro, по крайней мере, на данный момент у этой проблемы есть решение.