Обнаружен плохо написанный вымогатель "Гитлер", удаляющий файлы...
Рансомварь «Гитлер» (хотя окно с требованием выкупа гласит, что это рансомварь, очевидно, хакеры опечатались) была обнаружена специалистами компании AVG, а эксперты Bleeping Computer подвергли вредоноса тщательному анализу.
Шифровальщик состоит из комплекта файлов. Как только жертва открывает оригинальный батч-файл, Firefox32.exe прописывается в автозагрузку, и благодаря нему вымогатель стартует при каждом запуске компьютера. Файл ErOne.vbs отвлекает внимание жертвы: когда пользователь кликает на оригинальный файл с малварью, он отображает ошибку
«The file could not be found!».
В свою очередь, chrst.exe запускается сразу же и отображает сообщение с требованием выкупа (см. иллюстрацию выше).
Эксперты пишут, что в данный момент «Гитлер» либо находится в стадии тестирования, либо он написан так плохо, что в это трудно поверить. Вывод, что вымогатель пока находится в стадии разработки, эксперты сделали исходя из комментариев в коде, а также опираясь на тот факт, что малварь не шифрует файлы вообще, хотя и заявляет об обратном. Также исследователи предполагают, что родной язык разработчика малвари – это немецкий, так как некоторые комментарии в коде написаны на нем.
Вместо шифрования «Гитлер» просто стирает все расширения файлов в ряде директорий, а затем выводит на экран сообщение с требованием выкупа. На покупку карты Vodafone жертве отводится один час, затем отсчет в окне блокировки заканчивается, отвечавший за него файл chrst.exe «падает» сам и провоцирует синий экран смерти в Windows. После перезагрузки малварь стирает все файлы жертвы в папке %UserProfile%.