Malwarebytes пусна безплатен инструмент за дешифриране, за да помогне на жертвите на скорошна атака на рансъмуер да възстановят данните си от кибер престъпници, използващи техника за измама с техническа поддръжка. Наречен е новият вариант на рансъмуер VindowsLocker изплува миналата седмица. Той работи чрез свързване на жертвите с фалшиви техници на Microsoft, за да бъдат техните файлове криптирани с помощта на Пастебин API.
Измамници с техническа поддръжка от доста време се насочвам към нищо неподозиращите потребители на интернет. Комбинация от социално инженерство и измама, злонамерената тактика еволюира от студени обаждания до фалшиви сигнали и наскоро заключване на екрана. Измамниците от техническата поддръжка вече добавиха рансъмуер към арсенала си за атаки.
Якуб Кроустек, изследовател на сигурността на AVG, за първи път открива рансъмуера VindowsLocker и назовава заплахата въз основа на разширението на файла .vindows той се добавя към всички криптирани файлове. Рансъмуерът VindowsLocker използва алгоритъма за криптиране AES, за да заключва файлове със следните разширения:
текст, док, docx, xls, xlsx, ppt, pptx, отт, jpg, png, csv, кв, mdb, sln, php, asp, aspx, html, xml, psd
VindowsLocker имитира измама с техническа поддръжка
Рансъмуерът използва тактика, типична за повечето измами с техническа поддръжка, тъй като жертвите са помолени да се обадят на предоставен телефонен номер и да говорят с персонал за техническа поддръжка. За разлика от тях, атаките на рансъмуер в миналото са искали плащания и са обработвали ключове за дешифриране с помощта на портал Dark Web.
това не е поддръжка на Microsoft vindows
заключихме вашите файлове с вируса на zeus
направете едно нещо и се обадете на техник за поддръжка на ниво 5 на Microsoft на 1-844-609-3192
ще подадете файлове обратно за еднократна такса от $ 349,99
Malwarebytes вярва, че измамниците работят извън Индия и имитират персонала на техническата поддръжка на Microsoft. VindowsLocker също използва привидно легитимна страница за поддръжка на Windows, за да създаде фалшивото впечатление, че техническата поддръжка е готова да помогне на жертвите. Страницата за поддръжка иска имейл адреса и банковите идентификационни данни на жертвата, за да обработи плащането от $ 349,99 за отключване на компютър. Плащането на парите за откуп обаче не помага на потребителите да възстановят своите файлове според Malwarebytes. Това е така, защото разработчиците на VindowsLocker вече не могат автоматично да дешифрират заразен компютър поради някои грешки в кодирането.
Malwarebytes обяснява, че кодовете за рансъмуер на VindowsLocker са повредили един от API ключовете, предназначени за използване в кратки сесии. Следователно, API ключът изтича след кратък период от време и кодираните файлове влизат в мрежа, забранявайки на разработчиците на VindowsLocker да предоставят ключовете за криптиране AES на жертвите.
Прочетете също:
- Идентифицирайте рансъмуера, който е шифровал вашите данни с този безплатен инструмент
- Как да премахнете рансъмуера Locky завинаги
- Malwarebytes пуска безплатен декриптор за рансъмуер Telecrypt
- Locky рансъмуер, разпространяван във Facebook, прикрит като .svg файл
