В Мрежата се появи новината за нов тип рансъмуер, който се възползва от експлойтите на Агенцията за национална сигурност на САЩ (АНС). Неговото име е Yatron и се разпространява по схемата „рансъмуер като услуга“. Любопитното в случая е, че за появата му специалистите научават от самия автор, който го рекламира не в даркуеб пространството, а в… Twitter.

Подобно на стандартните механизми, използвани от криптовирусите днес, при стартирането му, той сканира за наличието на файлови типове по зададен списък, след което започва да ги криптира, прикачайки към тях разширение .Yatron. Самият рансъмуер се базира на позната заплаха – HiddenTear, но авторът на Yatron е променил механизма на криптиране, за да не може информацията да бъде декриптирана с наличните инструменти за това.

Yatron се опитва също така да използва EternalBlue и DoublePulsar, двете кибероръжия на АНС, причинили криптокошмара с WannaCry и използвани в редица други заплахи. За щастие, авторът на заплахата изглежда не си е свършил добре работата и самият рансъмуер не включва връзка към изпълнимите файлове на експлойтите. Освен това, зловредната програма се настанява и в папки, свързани с P2P програми, като Kazaa, Ares, eMule и др. Това позволява разпространението му и към други компютри, веднага след старта на споменатите програми. Други методи за автоматичното му разпространение включват USB и LAN.

Когато приключи, рансъмуерът представя интерфейс, което представя съобщение, че остават 72 часа, докато криптираните файлове ще бъдат изтрити. За да се защити от това потребителя, той може просто да прекрати процеса на рансъмуера, използвайки инструменти, като Process Explorer като администратор на системата“, пише Лорънс Абрамс от страниците на Bleeping Computer.

ДОБАВИ КОМЕНТАР

  Абонирай се  
Извести ме за