Новый зловред имитирует работу шифровальщика
Компания ESET предупреждает о росте активности новой вредоносной программы, которая «притворяется» зловредом с функциями вымогателя.
Программа носит имя MSIL/Hoax.Fake.Filecoder. Проникнув на компьютер жертвы, она отображает окно с требованием выкупа за восстановление доступа к якобы закодированным файлам. На деле же функции шифрования зловред не поддерживает.
Любопытно, что выводимое сообщение закрывает рабочий стол, блокируя доступ пользователя к файлам, папкам и приложениям. В этом уведомлении говорится, что все важные документы, фотографии и видеоматериалы, базы данных и другие ценные файлы заблокированы. Пользователю предлагается внести выкуп в размере 0,5 биткоина в течение трех дней. Через три дня сумма выкупа удваивается, через семь - расшифровать файлы будет невозможно.
В целом, MSIL/Hoax.Fake.Filecoder весьма убедительно копирует поведение «классических» шифраторов. Это может ввести жертву в заблуждение.
ESET отмечает, что вредоносная программа распространяется по стандартной для большинства шифраторов схеме - в электронной почте с вредоносным вложением или ссылкой. В качестве документа-приманки, запускающего загрузку вредоносной программы, выступают «исковые заявления», «кредитные договоры», «неоплаченные счета» и пр.
Анализ показывает, что осуществлять шифрование файлов программа не способна в принципе - в ее коде попросту отсутствуют соответствующие алгоритмы. Операторы лжешифратора рассчитывают исключительно на методы социальной инженерии, а также общественный резонанс от недавних атак шифраторов.