Аналитический центр AhnLab SEcurity (ASEC) обнаружил распространение программы-вымогателя CryptoWire, которая стала популярной в 2018 году.
CryptoWire распространяется через фишинговые письма и создается с помощью скрипта Autoit. Вымогатель копирует и вставляет себя в папку "C\Program Files\Common Files" и регистрирует расписание в планировщике задач для постоянной активности. Программа исследует сетевое окружение для расширения процесса шифрования файлов, удаляет теневую копию тома, опустошает корзину. Зашифрованный файл получает новое имя и расширение, а пользователю выводится сообщение о необходимости приобрести ключ дешифрования. В выкупной программе содержится ключ, который либо встроен в скрипт, либо отправляется на сервер атакующего. Пользователям рекомендуется быть осторожными при открытии файлов из неизвестных источников, проверять их с помощью антивирусных программ и обновлять их регулярно.
Indicators of Compromise
URLs
- http://194.156.98.51/bot/log.php
MD5
- a410d4535409a379fbda5bb5c32f6c9c
- cd4a0b371cd7dc9dab6b442b0583550c