Странная программа-вымогатель удаляет данные всего по несколько байтов за раз

Обнаружена новая вредоносная программа для удаления данных, которая с каждым днем заражает все больше и больше конечных точек, но самое любопытное то, что она выдает себя за программу-вымогатель.

Странная программа-вымогатель удаляет данные всего по несколько байтов за раз. Фото: СС0

Вредоносное ПО называется Azov Ransomware, и при запуске на устройстве жертвы оно перезаписывает данные файла мусором, делая их бесполезными. Перезаписи цикличны — вредоносное ПО перезаписывает 666 байт данных, затем оставляет следующие 666 нетронутыми, а затем повторяет процесс.

Несмотря на то, что нет никакого способа восстановить поврежденные файлы, нет ключа дешифрования или требования выкупа, вредоносное ПО по-прежнему поставляется с запиской о выкупе, в которой говорится, что жертвы должны обратиться за помощью к исследователям безопасности и журналистам.

Еще одна любопытная особенность Azov Ransomware заключается в том, что вирус поставляется с триггером, заставляющим его бездействовать на конечной точке до 27 октября, 10:14:30 утра по всемирному координированному времени, после чего начинается ад.

Когда эта дата наступит, жертве не обязательно запускать конкретный исполняемый файл — подойдет запуск практически любой программы. Это связано с тем, что очиститель заразит все другие 64-битные исполняемые файлы на устройствах, путь к файлу которых не содержит этих строк:

:\Windows.
\ProgramData\\.
cache2\entries.
\Low\Content.IE5\\.
User Data\Default\Cache\.
Documents and Settings.
\All Users.

Другими словами, запуск, казалось бы, безобидной программы приведет к сбою компьютера и уничтожению всех данных на нем.

Azov Ransomware распространяется через ботнет Smokeloader, который обычно встречается в поддельном пиратском программном обеспечении и на взломанных сайтах.

Кто бы ни стоял за этим дворником, их мотивы остаются неясными. В то время как некоторые исследователи считают, что вайпер используется как прикрытие для другого злонамеренного поведения, другие считают, что мотивом является не что иное, как троллинг сообщества кибербезопасности.

Startpack подготовил перечень антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме