В статье про вирусы-шифровальщики упоминалось про быстрое распространение очень опасного с точки зрения безопасности и потери информации вирусах семейства Ransomware. Продолжаем следить за развитием событий во время перерывов между установками Windows и ремонтом ноутбуков.

Вирусы данного семейства и разработчики CryptoBot, похоже, продолжают эволюционировать. Вирус, как и раньше, попадает на компьютер жертвы через почту с деловой тематикой. В конце сообщения есть упоминание о том, что послание якобы проверено с помощью Avsast antivirus.

При открытии вложения, которое представляет из себя java скрипт размером менее 10 килобайт, происходит заражение компьютера под управлением ОС семейства Windows. Затем вирус подгружает недостающие компоненты и начинает шифровать файлы, расположенные на локальных дисках. Шифровке, без возможности последующей самостоятельной дешифрации, подвергаются файлы, представляющие большую ценность для пользователя: фотографии, документы Excel, Word. файлы баз данных 1С:Бухгалтерия. Т.е. вирус очень опасен. Для расшифровки данных на заражённом компьютере предлагается единственно возможный вариант спасти информацию — перечислить на указанный на kiwi кошелёк (сейчас это счёт Bitcoin).

Стало известно, что разработчики вируса завели аккаунт в Twitter и выкладывают туда контакты своих жертв, которые пошли на сделку с мошенниками и оплатили указанную сумму, с их почтовыми адресами и web-сайтами. Таким образом они формируют высокий уровень доверия к собственному сервису. Т.е. платите и всё будет OK.

Ситуация достаточно интересная ещё и потому, что благодаря Twitter стало известно, заразились, а затем и платили мошенникам некоторые компании, основным видом деятельности которых является сетевая безопасность и защита информации.