Новый вирус-вымогатель DeathRansom шифрует файлы и требует выкуп в биткоинах

В сети появилось новое вредоносное программное обеспечение DeathRansom, вымогающее биткоины, которое шифрует файлы, а не просто выводит жуткие сообщения на дисплей.

Этот крипто-вымогатель шифрует или делает вид, что шифрует данные пользователей с помощью XTEA, а затем требует написать на email вымогателей, чтобы узнать, как заплатить выкуп в BTC, получить программу для расшифровки и вернуть файлы.

Единственный метод восстановления зашифрованных файлов заключается в покупке уникального закрытого ключа. Жертвам необходимо отправить 0,1 BTC (около $710) злоумышленникам в течение 12 часов. Если срок не соблюден, пароль расшифровки жертвы будет удален. Хакеры говорят, чтобы убедиться, что у них есть расшифровщик, и он работает, жертва может отправить им email и они расшифруют один файл бесплатно. Но этот файл должен быть не ценным.

Жертве даже сообщают, где проще и выгоднее купить биткойны и даже как это сделать.

DeathRansom изначально подделал часть шифрования, что сделало его довольно безобидным, но вскоре он превратился в зверя, который может сделать ваши файлы непригодными для использования. У вируса имеется родство с DCRTR и STOP Ransomware (например: Stop-zobm, смотрите также, ссылки IA ниже в результатах анализов и обновлениях).

К зашифрованным файлам добавляется расширение: .wctc. Позже стал использоваться вариант, который не добавлял расширение к зашифрованным файлам.

Пока нет информации о том, как распространяется эта вредоносная программа. Также неизвестно, можно ли расшифровать поврежденные файлы самостоятельно.

Технические детали DeathRansom

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Как показали сравнительные тесты и анализ поступающих заявлений от пострадавших, это вымогательство распространяется или сопутствует новым (на ноябрь 2019) образцам STOP Ransomware. Например, сервис Integer Analyze показывает родство файла от STOP-варианта с расширением .zobm.

Список файлов, которые вирус может зашифровать?

Это могут быть документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Активность этого крипто-вымогателя пришлась на середину ноября 2019 года. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Степень распространённости: средняя. Подробные сведения собираются регулярно.   | Фориншурер