Исследователь под псевдонимом MalwareHunterTeam выявил новое вымогательское ПО, которое распространяется в двух версиях. Одна может делать скриншоты экрана компьютера жертвы и отправлять их на C&C-сервер мошенников; вторая попадает на компьютеры ничего не подозревающих пользователей под видом приложений Pokémon GO.
Обе версии располагают стандартным для вымогательского ПО функционалом. Вредоносы шифруют файлы при помощи алгоритма AES и способны остановить работу служб MySQL и MSSQL на зараженном компьютере. Попав на систему, оба трояна отображают уведомление о выкупе, запуская при этом аудио.
Эксперту пока не удалось определить пути распространения вредоноса. Он утверждает, что оба варианта содержат исполняемый файл, включающий несколько компонентов. После запуска из основного файла извлекаются файл MicrosoftHost.exe, аудиофайл, изображение заднего фона и исполняемый файл с названием в зависимости от варианта (Calipso.exe или Pokemon.exe).
MicrosoftHost.exe применяется для шифрования контента и остановки процессов MySQL и MSSQL на компьютере жертвы. Второй исполняемый файл способен отобразить уведомление о блокировке, воспроизвести аудиофайл и расшифровать зашифрованный контент, если жертва располагает правильным паролем.
Главная особенность версии Calipso – возможность делать снимки экрана и отправлять их злоумышленникам. Исследователь полагает, что информация со скриншота служит для операторов трояна ориентиром в установке суммы выкупа.
Источник http://www.securitylab.ru/
