CryPy использует уникальные ключи
Новый вид вымогателей использует уникальный ключ для каждого файла во время шифровки компьютера жертвы.
Вымогатель под именем CryPy это не единственный вид вредоносных программ, которые были написаны на популярном языке программирования Python. На этом языке уже появились ранее вирусы HolyCrypt, Fs0ciety Locker и Zimbra.
CryPy распространился из-за уязвимости безопасности в системе управления контентом платформы magento (CMS). Эти уязвимости позволили злоумышленникам загрузить и запустить PHP скрипт на уязвимых израильских веб-серверах, которые теперь выступают в качестве распространителя вредоносного ПО.
Данные передаются с сервера в незашифрованном виде, что позволяет человеку организовать атаки с помощью дополнительных PHP-скриптов, которые активируют вымогателей действовать на компьютере жертвы.
Лаборатория Касперского провела исследования, в результате которых было выяснено, что вредоносная программа состоит из двух основных команд: boot_common.py и encryptor.py. Первая команда отвечает за поиск ошибок на платформах Windows, а последняя является фактическим исполнителем процесса заражения. После того как система заражена, CryPy отключает системные инструменты: реестр, Диспетчер задач, команду cmd и систему восстановления.
Шифрование начинается с подбора свежего ключа шифрования для каждого файла в отдельности. Однако Касперский считает, что CryPy находится на ранней стадии развития, так как вредоносная программа в ее нынешнем виде еще не совсем совершенна и скорее всего обновится в ближайшем будущем.
Когда система заблокирована и файлы зашифрованы, потерпевших просят связаться с организатором атаки по электронной почте, где требуется заплатить за программу расшифровки. Далее жертве может быть предложено расшифровать несколько файлов бесплатно, показывая функции разблокирующих программ что бы завоевать доверие у жертвы, и подтолкнуть ее к оплате за всю систему расшифровки.
Ранее на этой неделе исследователи компании Symantec показали, что вымогатели применяют тактику, используя скрипт Windows Script Files (WSF) для распространения программ-вымогателей, так как данный скрипт не могут отразить антивирусные программы.