Malwarebytes выпустила бесплатный инструмент дешифрования, чтобы помочь жертвам недавней атаки вымогателя восстановить свои данные от киберпреступников, используя технику мошенничества с техподдержкой. Новый вариант вымогателя называется VindowsLocker всплыл на прошлой неделе. Он работает путем подключения жертв к фальшивым техническим специалистам Microsoft, чтобы их файлы были зашифрованы с помощью Pastebin API.
Мошенники техподдержки уже долгое время нацелены на ничего не подозревающих интернет-пользователей. Комбинация социальной инженерии и обмана, злонамеренная тактика превратилась из холодных звонков в поддельные предупреждения и, совсем недавно, блокировки экрана. Мошенники службы технической поддержки добавили вымогателей в свой арсенал атак.
Якуб Кроустек, исследователь безопасности AVG, первым обнаружил программу-вымогатель VindowsLocker и назвал угрозу на основе расширения файла. .vindows он добавляется ко всем зашифрованным файлам. Программа-вымогатель VindowsLocker использует алгоритм шифрования AES для блокировки файлов со следующими расширениями:
текст, док, docx, xls, xlsx, ppt, pptx, odt, jpg, PNG, csv, sql, mdb, sln, php, жерех, aspx, html, xml, psd
VindowsLocker имитирует мошенничество с техподдержкой
Программа-вымогатель использует тактику, типичную для большинства мошеннических схем технической поддержки: жертв просят позвонить по предоставленному номеру телефона и поговорить с персоналом службы технической поддержки. Напротив, в прошлом атаки программ-вымогателей запрашивали платежи и обрабатывали ключи дешифрования с помощью портала Dark Web.
это не поддержка microsoft vindows
мы заблокировали ваши файлы вирусом zeus
сделайте одно дело и позвоните специалисту службы поддержки Майкрософт уровня 5 по телефону 1-844-609-3192
вы вернете файлы за разовую плату в размере 349,99 долларов США.
Malwarebytes считает, что мошенники действуют из Индии и имитируют сотрудников службы технической поддержки Microsoft. VindowsLocker также использует, казалось бы, законную страницу поддержки Windows, чтобы создать ложное впечатление, будто служба технической поддержки готова помочь жертвам. На странице поддержки запрашивается адрес электронной почты жертвы и банковские реквизиты для обработки платежа в размере 349,99 долларов США для разблокировки компьютера. Однако, согласно Malwarebytes, выплата выкупа не помогает пользователям восстанавливать свои файлы. Это связано с тем, что разработчики VindowsLocker теперь не могут автоматически расшифровать зараженный компьютер из-за некоторых ошибок кода.
Malwarebytes объясняет, что кодировщики программ-вымогателей VindowsLocker испортили один из ключей API, предназначенных для использования в коротких сеансах. Следовательно, срок действия ключа API истекает через короткий промежуток времени, и зашифрованные файлы переходят в оперативный режим, что не позволяет разработчикам VindowsLocker предоставлять ключи шифрования AES жертвам.
Читайте также:
- Определите программу-вымогатель, зашифровавшую ваши данные, с помощью этого бесплатного инструмента
- Как удалить программу-вымогатель Locky навсегда
- Malwarebytes выпускает бесплатный дешифратор для вымогателей Telecrypt
- В Facebook распространяется блокируемая программа-вымогатель, замаскированная как файл .svg
