22:24, 10-июл-2023
Что это за шифровальщик?
При его запуске появляется окно "обновления Windows". А на самом деле в это время он шифрует файлы. Выглядит окно обновления так:
А после этого появляется сообщение о шифровании:
Немного дополнительной информации
Каждой жертве присваивается собственный идентификатор, который либо извлекается из директории %appdata%\ID, либо генерируется при помощи случайной строки из 40 символов. Как и все современные шифровальщики, «большая голова» удаляет теневые копии перед тем, как непосредственно взяться за файлы. К каждому пострадавшему файлу добавляется расширение «.poop».
Как работает вирус:
Когда файл выполняется, на компьютер передаются три дополнительных исполняемых файла, которые имеют три разных назначения. Один из них заражает компьютер основным вредоносным ПО атаки, второй внедряет Telegram-бота, который устанавливает связь с хакером и, наконец, третий файл выводит ложное сообщение о том, что имеется ожидающее обновление Windows . Важно знать, что как вредоносное ПО, так и сообщение об обновлении вызывают прогрессирование заражения.
Когда вредоносное ПО начинает действовать, оно уже может отображать сообщение программы-вымогателя на компьютере пользователя, информирующее его об «угоне» устройства. При нажатии поддельной кнопки обновления Windows компьютер также подвергается шифрованию файлов, после чего отображается соответствующее сообщение о программе-вымогателе. Отсюда и начинается кошмар для пользователей, ставших жертвами.
Источники: comss, anti-malware
Теги:
Похожие новости