Шифровальщик Syrk атакует любителей читерить в Fortnite

Рекомендуем почитать:

Xakep #244. Атаки по сторонним каналам

• Содержание выпуска
• Подписка на «Хакер»

Эксперты компании Cyren обнаружили шифровальщика Syrk, построенного на базе опенсорсной малвари Hidden-Cry, чьи исходные коды были опубликованы в открытом доступе еще в конце прошлого года.

Вымогатель нацелен на читеров в Fortnite, так как маскируется под утилиту для взлома игры и обещает дать игрокам преимущество в точном прицеливании, зная точное местоположение других игроков.

На самом деле вместо желаемого аимбота игроки скачивают малварь, которая сразу после запуска начинает шифровать файлы на их компьютерах, добавляя к ним расширение .Syrk. Также вредонос пытается отличить на зараженной машине Windows Defender и User Account Control (UAC), добиться постоянного присутствия в системе и внимательно следит процессами, которые могут привести к завершению его работы (диспетчер задач, Procmon64 и ProcessHacker). Кроме того, вымогатель пытается заразить USB-накопители, подключенные к системе, для дальнейшего распространения.

Закончив шифрование, вымогатель пытается вынудить своих жертв заплатить выкуп как можно быстрее, удаляя файлы каждые два часа. Однако исследователи Cyren полагают, что восстановить удаленные файлы и расшифровать прочие данные возможно и не платя злоумышленникам.

Так, исследователи обнаружили сразу два возможных метода дешифрования данных, поскольку необходимые для этого файлы присутствуют на самих зараженных компьютерах. Одним из них является dh35s3h8d69s3b1k.exe , инструмент дешифрования Hidden-Cry, встроенный в исходную малварь. Извлечение и выполнение этого файла приведет к созданию PowerShell-скрипта, необходимого для расшифровки информации.

Кроме того, вымогатель сохраняет в системе файлы, содержащие ID и пароль, необходимые для расшифровки файлов. Это файлы -i + .txt, -pw + .txt и + dp-.txt, сохраняющиеся в C:UsersDefaultAppDataLocalMicrosoft.

Источник