Новый SpectraRansomware атакует Windows-системы: шифрование файлов и угроза утечки данных

Spectra использует схожие методы атаки, но фокусируется исключительно на системах под управлением Windows. После заражения устройство подвергается полному шифрованию файлов, а злоумышленники оставляют файл с требованиями - SPECTRARANSOMWARE.txt. В нем указана сумма выкупа в размере $5 000 в биткоинах, который необходимо перевести в течение 72 часов. Кроме того, злоумышленники угрожают двойным шантажом: если жертва не заплатит, ее данные не только останутся зашифрованными, но и могут быть украдены и опубликованы.

Анализ образца показал, что Spectra Ransomware представляет собой 32-битный исполняемый файл, скомпилированный с помощью Microsoft Visual Studio .NET. Как и его предшественник Yashma, этот ransomware использует метод forbiddenCountry, который проверяет язык ввода системы. Если устройство находится в Азербайджане или Турции, вредоносная программа прекращает работу.

Для обеспечения устойчивости в системе Spectra Ransomware применяет несколько техник. Сначала он проверяет, не запущен ли уже аналогичный процесс, используя API GetProcess. Если обнаруживает дублирование, то завершает свою работу. Затем он копирует себя в папку AppData\Roaming под именем svchost.exe, а также вносит изменения в реестр для автоматического запуска при старте системы. Чтобы усложнить борьбу с инфекцией, ransomware отключает диспетчер задач, устанавливая параметр disableTaskMgr в значение «1».

Одной из ключевых особенностей Spectra Ransomware является его способность останавливать сервисы резервного копирования и антивирусные программы. Среди целевых сервисов - решения от Veritas Technologies, Veeam, Acronis, Symantec и других вендоров. Это позволяет злоумышленникам предотвратить восстановление данных из резервных копий.

После подготовки системы ransomware приступает к шифрованию. Он сканирует все диски, исключая системные папки, чтобы избежать повреждения операционной системы. Файлы шифруются с использованием гибридного метода AES-RSA: содержимое файлов кодируется алгоритмом AES, а ключ шифрования дополнительно защищается RSA. Для больших файлов (объемом более 1,79 ГБ) применяется упрощенный метод - их содержимое заменяется на символы «?».

После завершения шифрования в каждой затронутой папке создается файл SPECTRARANSOMWARE.txt с инструкциями по выплате выкупа. Кроме того, ransomware меняет обои рабочего стола на изображение с угрожающим сообщением.

Эксперты рекомендуют пользователям усилить защиту своих систем, используя надежные антивирусные решения, такие как K7 Total Security, и регулярно обновляя программное обеспечение. В условиях растущей угрозы ransomware-атак критически важно соблюдать базовые меры кибербезопасности, включая резервное копирование данных и осторожность при работе с подозрительными файлами.

MD5

• 559b0d30b7bbf2d514c01e275fadbc90