Вымогатель Ranscam удаляет файлы без возможности восстановления

Попав на компьютер жертвы, Ranscam показывает пользователю уведомление о том, что все файлы были зашифрованы и перемещены в скрытый раздел. Сумма выкупа, предъявляемая пользователю за восстановление, составляет 0,2 биткойна (приблизительно $130). Взамен на отправку денег Троян обещает вернуть контент.

На самом же деле, после нажатия на кнопку подтверждения платежа, пользователь видит сообщение: “Ваш платеж не подтвержден” с угрозой удаления одного файла за другим при каждой неподтвержденной оплате. Такое уведомление поступает на компьютеры всех жертв, в независимости от того заплатили они или нет.

По словам исследователей подразделения Cisco Talos, обнаруживших этот вредонос, Ranscam просто отправляет два запроса HTTP GET для получения PNG-изображений, используемых для имитации верификационного процесса. По факту никакой проверки не происходит, а файлы уже удалены без возможности восстановления.

Ranscam действует следующим образом: на первом этапе исполняемый файл на .NET запускает пакетный скрипт, который размножается и заполняет систему жертвы. После этого скрипт удаляет часть важных файлов, в том числе Windows .EXE, отвечающий за восстановление системы, службу теневого копирования, а также ключи в реестре Windows, связанные с загрузкой в безопасном режиме. После завершения этих действий, скрипт инициирует принудительное выключение компьютера.

Предположительно, авторы Ranscam – всего лишь аматоры, желающие по-быстрому заработать. Тем не менее, после 29 июня кошелек Bitcoin, используемый злоумышленниками, не принял ни одной транзакции.

Стоит отметить, что Ranscam – не единственный вымогатель, удаляющий файлы на компьютере жертвы. Например, вредонос Jigsaw удаляет по одному файлу в час, если требуемый выкуп не был выплачен вовремя.

Источник http://www.securitylab.ru/