Программа-вымогатель CryLocker: двойной кошмар

Киберпреступники, использующие программы-вымогатели, обычно придерживаются довольно предсказуемого набора действий. После того, как жертва попадается на приманку и заражает свой компьютер, полезная нагрузка шифрует ее файлы до тех пор, пока не будет выплачен выкуп (обычно в биткойнах). Новейшая программа-вымогатель, обнаруженная исследователями в области безопасности, под названием CryLocker выводит кибератаки на новый уровень. Эта программа-вымогатель не только удерживает в заложниках данные цели, но также может эффективно доксировать жертву атаки.

Программа-вымогатель обсуждалась в отчете с участием исследователей безопасности Лоуренса Адамса, MalwareHunterTeam и Дэниела Галлахера. По их словам, CryLocker использует UDP для отправки украденных данных о зараженной машине и ее владельце на « 4096 различных IP-адресов… чтобы скрыть местоположение сервера Command & Control, чтобы власти не могли его захватить». Кроме того, CryLocker продолжает загружать информацию в Imgur через поддельный PNG-файл, содержащий те же зашифрованные данные.

Далее следует доксинг, так как программа использует «функцию WlanGetNetworkBssList для получения списка ближайших беспроводных сетей и их SSID» через API Карт Google. Исследователи, составившие отчет, считают, что эта информация используется для «создания изображения местоположения жертвы с помощью карт Google». Затем это можно использовать, чтобы еще больше запугать жертв и заставить их заплатить выкуп». Это еще не подтверждено примерно 8000 жертвами CryLocker, но, учитывая, что программы-вымогатели часто основаны на страхе, это вполне вероятно.

Если жертва решит заплатить выкуп в биткойнах 1,1, ее единственный вариант — через сайт Tor под названием «Кабинет пользователя». На странице показана ссылка на поддельную организацию Central Security Treatment Organization, которая использует якобы официальный логотип федерального правительства. Это довольно стандартная тактика для программ-вымогателей; запугивание людей, заставляя их думать, что официальное правительственное агентство преследует их.

Поскольку в настоящее время нет возможности расшифровать файлы без уплаты выкупа, лучшее, что могут сделать пользователи, — это использовать защитную тактику в Интернете. Не открывайте отрывочные ссылки или электронные письма, не загружайте ничего из неизвестного источника и установите надежный антивирус и брандмауэр. CryLocker может возвестить действительно неприятную эру заражений программами-вымогателями, поскольку мы можем видеть, как доксинг становится нормой в попытке заставить жертв платить. Лучшее, что могут сделать исследователи на данном этапе, — это выяснить, как удалить вредоносное ПО, расшифровать файлы и, в конечном счете, поспешно выследить виновных.