Malwarebytes випустив безкоштовний інструмент дешифрування, щоб допомогти жертвам недавньої атаки-вимогателя відновити свої дані від кіберзлочинців із використанням техніки шахрайства технічної підтримки. Викликається новий варіант програми-вимогателя VindowsLocker з’явився минулого тижня. Це працює шляхом підключення жертв до фальшивих техніків Microsoft, щоб їх файли зашифрували за допомогою Пастебін API.
Технічна підтримка шахраїв вже досить давно націлюються на нічого не підозрюючих користувачів Інтернету. Поєднання соціальної інженерії та обману, зловмисна тактика еволюціонувала від холодних дзвінків до фальшивих сповіщень та, зовсім недавно, блокування екрану. Зараз шахраї технічної підтримки додали до свого арсеналу атак програм-вимагачів.
Якуб Кроустек, дослідник безпеки AVG, вперше виявив вимога-програму VindowsLocker і назвав загрозу на основі розширення файлу .vindows він додається до всіх зашифрованих файлів. Вимагальна програма VindowsLocker використовує алгоритм шифрування AES для блокування файлів із такими розширеннями:
txt, док, docx, xls, xlsx, ppt, pptx, одн, jpg, PNG, csv, кв, mdb, sln, php, asp, aspx, html, xml, psd
VindowsLocker імітує аферу технічної підтримки
Викупник використовує тактику, типову для більшості шахрайських служб технічної підтримки, оскільки потерпілих просять зателефонувати за наданим номером телефону та поговорити з персоналом технічної підтримки. На відміну від них, раніше атаки-програми-вимагачі вимагали платежів і обробляли ключі розшифровки за допомогою порталу Dark Web.
це не підтримка Microsoft Windows
ми заблокували ваші файли за допомогою вірусу Zeus
зробіть одне і зателефонуйте 5-му спеціалісту зі служби підтримки Microsoft за номером 1-844-609-3192
ви повернете файли за одноразову плату в розмірі 349,99 доларів США
Malwarebytes вважає, що шахраї працюють за межами Індії та імітують персонал технічної підтримки Microsoft. VindowsLocker також використовує, здавалося б, законну сторінку підтримки Windows, щоб скласти хибне враження, що технічна підтримка готова допомогти жертвам. На сторінці підтримки запитується електронна адреса жертви та банківські дані для обробки платежу в розмірі 349,99 доларів США для розблокування комп’ютера. Однак сплата грошей за викуп не допомагає користувачам відновити свої файли відповідно до Malwarebytes. Це тому, що розробники VindowsLocker тепер не можуть автоматично розшифрувати заражений комп’ютер через деякі помилки кодування.
Malwarebytes пояснює, що кодери-вимагателі VindowsLocker вилучили один із ключів API, призначений для використання під час коротких сесій. Отже, термін дії ключа API закінчується через короткий проміжок часу, і зашифровані файли переходять в мережу, забороняючи розробникам VindowsLocker надавати ключі шифрування AES жертвам.
Читайте також:
- Визначте програму-вимагатель, яка зашифрувала ваші дані, за допомогою цього безкоштовного інструменту
- Як назавжди видалити вимога-програму Locky
- Malwarebytes випускає безкоштовний дешифрувач для програми-вимогателя Telecrypt
- Локі-програма-вимагач, що поширюється на Facebook, маскується як файл .svg
