Обнаружен новый вариант Windows-шифровальщика ChaCha под названием Maze. Он относится к семейству так называемых умных вирусов: и умеет самостоятельно определять тип зараженного компьютера. На базе этой информации генерируется индивидуальная сумма выкупа.
Шифровальщик распространяется с помощью эксплойт-пака Fallout (не путать с одноименной спекулятивной уязвимостью ), который на данный момент является одним из самых активных представителей своего класса.
Заражение происходит следующим образом. Организаторы кампании запустили поддельный криптовалютный сервис Abra и договорились с рекламными платформами, чтобы привлекать пользователей через сети партнерских сайтов. Кликнувшие на баннер посетители попадают на вредоносные площадки, где им предлагается скачать вымогательское ПО под видом приложения для обмена криптовалют.
Технически Maze, на запуск которого Windows запрашивает согласие пользователя, не слишком отличается от других шифровальщиков. Он использует алгоритм ChaCha20, создавая для каждого файла индивидуальную пару ключей, которые затем шифруются публичным ключом RSA. Заблокированные документы получают случайно сгенерированные расширения.
По завершении процесса вымогатель оставляет жертве сообщение. В требовании о выкупе указывается тип пораженной машины: домашний компьютер, рабочая станция, сервер в корпоративной сети, изолированный сервер, контроллер доменов и т. д. По их задумке, это должно убедить пользователя в том, что ему предложат «адекватную цену восстановления» (на самом деле нет подтверждений, что кому-то возвращают данные).
Так как на текущий момент эксперты не успели подобрать ключ для расшифровки файлов после атак разновидностей ChaCha, пользователям рекомендуется соблюдать традиционные меры предосторожности – регулярно обновлять Windows и выполнять резервное копирование, не скачивать ПО с подозрительных сайтов и внимательно проверять вложения в электронных письмах, и.т.д..
Редакция АКБ сразу же вспомнила про описанную в 2018 году «Лабораторией Касперского» необычную версию вируса-загрузчика Rakhni . Этот вредонос так же умеет оценивать возможность получения прибыли и в зависимости от конфигурации системы выбирает, какое зловредное ПО лучше всего «подойдет» конкретному пользователю: шифровальщик для тех, кто победнее, майнер для состоятельных обладателей крепкого железа, для остальных обыкновенный червь.
Основной целью атак Rakhni является Россия (95,57% случаев), скорее всего, здесь его и написали.
