«Лаборатория Касперского» описала необычную версию вируса-загрузчика Rakhni, которая оценивает возможность получения прибыли и в зависимости от конфигурации системы выбирает, какое ПО лучше всего «подойдет» конкретному пользователю.
Вредонос Rakhni известен экспертам уже несколько лет, он написан на языке Delphi и распространяется через фишинговые письма с прикрепленным зараженным документом Microsoft Word.
Будучи запущенным, Rakhni сам принимает решение о загрузке шифровальщика или майнера зависит от наличия папки %AppData%\Bitcoin. При ее наличии загрузчик скачает вирус-шифровальщик, который попросит выкуп. В противном случае (только если компьютер использует более двух логических процессоров) будет загружен майнер. Если на устройстве нет такой папки и/или на компьютере доступен только один логический процессор, тогда загрузчик сразу переходит к компоненту-червю для обеспечения запуска после перезагрузки устройства.
У Raknhi также неплохой маскировочный механизм: с помощью утилиты CertMgr.exe вредоносная программа устанавливает фальшивые корневые сертификаты, якобы подписанные Microsoft и Adobe Systems.
По данным «Лаборатории Касперского», основной целью атак Rakhni является Россия (95,57% случаев).
Рахни — насекомоподобная раса из вселенной игры Mass Effect.