Специалисты AhnLab Security Intelligence Center (ASEC) обнаружили новую вредоносную кампанию, в рамках которой злоумышленники распространяют ransomware, замаскированный под инструмент для взлома паролей. Такие утилиты часто используются в атаках методом грубой силы (brute force), когда злоумышленники перебирают возможные комбинации символов, чтобы подобрать пароль. Однако в данном случае жертва, запустившая якобы взломщик, вместо получения доступа к чужим учетным записям сама становится жертвой шифровальщика.
Описание
Вредоносная программа создана с помощью PyInstaller - инструмента, который преобразует Python-скрипты в исполняемые файлы (EXE). При запуске она имитирует интерфейс взломщика паролей, предлагая пользователю ввести имя пользователя и email, а затем нажать кнопку "START HACK (Admin Only)". В этот момент программа начинает шифровать файлы на компьютере жертвы, добавляя к их именам расширение .NS1419.
Для шифрования используется алгоритм AES-256 в режиме CFB, что делает восстановление файлов практически невозможным даже при выплате выкупа. После завершения процесса на экране появляется сообщение "Snapchat is hacked… Please read snapReadme.txt!", направляющее пользователя к файлу с требованиями злоумышленников. Выкуп требуется оплатить в Bitcoin, однако гарантий расшифровки данных нет.
Атака направлена на файлы с популярными расширениями, включая документы (.docx, .pdf), изображения (.jpg, .png), базы данных (.sql, .accdb) и архивы (.zip, .rar). Исключение составляют только файлы в системных папках (Program Files, Windows).
Эксперты ASEC предупреждают: злоумышленники активно используют социальную инженерию, предлагая "взломщики" и другие хакерские инструменты через сомнительные сайты. Чтобы избежать заражения, следует скачивать программы только с официальных источников и избегать запуска подозрительных файлов, даже если они выглядят как легитимные утилиты.
Индикаторы компрометации
MD5
- c925c280d41a19ca4c1e89482b1ee508
