kliMaster

RensenWare восстанавливает данные только при условии набора 200 млн очков в игре TH12.

Как правило, авторы криптовымогателей разрабатывают свои программы с одной целью - получить финансовую выгоду, однако порой эксперты в области безопасности сталкиваются с довольно необычными представителями подобного ПО.

Речь идет о вымогателе RensenWare, который шифрует файлы на компьютере жертвы при помощи алгоритма AES-256 и добавляет к ним расширение .RENSENWARE. Как сообщает издание BleepingComputer, восстановление данных возможно только в том случае, если пользователь наберет 0,2 млрд очков в игре TH12 - Undefined Fantastic Object. Жертва не сможет получить ключ дешифрования, если не заработает требуемое количество баллов, а при попытке закрыть программу ключ будет удален.

RensenWare шифрует файлы с расширениями .jpg, .txt, .png, .pdf, .hwp, .psd, .cs, .c, .cpp, .vb, .bas, .frm, .mp3, .wav, .flac, .gif, .doc, .xls, .xlsx, .docx, .ppt, .pptx, .js, .avi, .mp4, .mkv, .zip, .rar, .alz, .egg, .7z и .raw. Вредонос отслеживает текущей счет и уровень в игре, при достижении результата в 200 млн очков он сохраняет ключ дешифрования на рабочем столе и инициирует процесс расшифрования.

Как признался создатель RensenWare, программа была написана просто ради шутки. Разработчик уже принес свои извинения и удалил исходный код ПО с GitHub. Он также опубликовал инструмент для восстановления зашифрованных файлов.

P.S. закинул бы кто Габену, шифровальщик где надо набрать тысячу очков в HL3.

Вредонос распространяется через фальшивое обновление Adobe Flash Player.

Пользователи Skype обратили внимание на появление подозрительной рекламы. При запуске домашнего экрана программы отображается рекламный баннер, продвигающий якобы критическое обновление Adobe Flash Player, но в действительности программа загружает вымогательское ПО.

Согласно сообщениям на форуме Reddit, после клика на рекламное сообщение на компьютер загружается и запускается по виду легитимное HTML-приложение, которое загружает вредоносную полезную нагрузку на компьютер жертвы. В результате устройство оказывается инфицировано вредоносным ПО.

Понимая, что под приложением скрывается вредоносное ПО, пользователи решили изучить его код. Как выяснилось, запуск фальшивого приложения, предназначенного для атак на компьютеры под управлением Windows, провоцирует исполнение обфусцированного кода JavaScript, который удаляет только что открытое пользователем приложение и запускает команду PowerShell, загружающую JSE-файл с уже несуществующего домена.

В связи с тем, что домен более недоступен, загрузить и проанализировать вредоносную программу не удалось. Но эксперты сходятся во мнении, что речь идет о вымогательском ПО, так как в целом атака схожа с недавней кампанией по распространению шифровальщика Locky и трояна Kovter.

По словам представителя Microsoft, пользователи просто столкнулись с сомнительными рекламными баннерами, сам Skype не скомпрометирован. В компании порекомендовали пользователям установить антивирусы, блокирующие подобные атаки.

https://www.reddit.com/r/sysadmin/comments/6276sp/fyi_skype_...

Исследователи из компании Zscaler обнаружили новый вариант вымогательского ПО для Android, который может уклоняться от обнаружения мобильными антивирусами. В настоящее время вредонос ориентирован на русскоязычных пользователей и, по словам экспертов, лишен функционала дешифрования. То есть, жертвы вымогателя не смогут разблокировать свои мобильные устройства и восстановить данные даже в случае выплаты выкупа.

Дистрибуция вымогательского ПО происходит через сторонние магазины приложений. Операторы вредоносной программы используют распространенный среди преступников метод - маскируют вредоносные приложения под популярные в Google Play Store программы.

После установки на системе вредоносное приложение ожидает четыре часа и затем начинает отображать всплывающие сообщения, запрашивающие права администратора. Даже если пользователь закроет уведомление, оно будет появляться до тех пор, пока вредоносная программа не получит требуемое. Далее вредонос блокирует экран устройства и отображает с сообщение о том, что данные пользователя зашифрованы и для их восстановления требуется заплатить выкуп в размере 500 рублей. Кроме того, в уведомлении содержится угроза отправить SMS-сообщение компрометирующего характера всем контактам жертвы, если требуемая сумма не будет выплачена.

По словам специалистов Zscaler, в процессе анализа исходного кода вредоноса они не обнаружили функции, отвечающие за проверку транзакций или отправку SMS-сообщений. Как полагают эксперты, вымогателю удается обойти антивирусы благодаря использованию качественно обфусцированного кода и техники Java Reflection для его исполнения. Кроме того, четырехчасовое «окно» позволяет вредоносу избежать обнаружения антивирусными решениями, полагающимися на динамический анализ.

EN S: https://www.zscaler.com/blogs/research/new-android-ransomwar...