Неділя, 22 Грудня, 2024

Вірус Azov Ransomware видаляє по 666 байтів даних за цикл

Експерт Джирі Вінопал з Checkpoint повідомив про нове зловмисне програмне забезпечення, що знищує дані. Воно наразі стає дедалі популярнішим і з кожним днем заражає все більше кінцевих пристроїв. Найцікавіше те, що воно видає себе за програму-вимагач, а також знищує дані циклами по 666 байтів.

Зловмисне програмне забезпечення називається Azov Ransomware, і під час запуску на пристрої жертви воно перезаписує файли сміттям. Перезапис відбувається циклічно: зловмисне програмне забезпечення перезаписує 666 байт даних, потім залишає наступні 666 недоторканими, а потім повторює процес.

Незважаючи на те, що немає способу відновити пошкоджені файли, немає ключа розшифровки чи вимог викупу, зловмисне програмне забезпечення все одно постачається з повідомленням про викуп. У ньому сказано, що жертви повинні звернутися по допомогу до дослідників безпеки та журналістів.

Ще одна цікава річ про програму-вимагач Azov полягає в тому, що вона постачається з тригером, який на кінцевому пристрої очікував до 27 жовтня, 10:14:30 за UTC, після чого починала свою роботу.

Коли настала ця дата, жертві не обов’язково запускати якийс певний виконуваний файл – підійде практично будь-яка програма. Це тому, що вірус заразить усі інші 64-розрядні виконувані файли на пристроях, шлях до файлу яких не містить цих рядків:

:\Windows

\ProgramData\

\cache2\entries

\Low\Content.IE5\

\User Data\Default\Cache\

Documents and Settings

\All Users

Іншими словами, запуск, здавалося б, безпечної програми призведе до збою комп’ютера та знищення всіх даних на ньому.

Програмне забезпечення-вимагач Azov розповсюджується через ботнет Smokeloader, який зазвичай зустрічається у підробленому піратському програмному забезпеченні та сайтах, де розповсюджують «кряки».

Незрозуміло, навіщо зловмисник витрачає гроші на розповсюдження очищувача даних. Однак теорії варіюються від того, щоб приховати іншу зловмисну поведінку або просто «тролити» спільноту кібербезпеки.

Незалежно від причини, жертви, заражені Azov Ransomware, не зможуть відновити свої файли, а оскільки інші виконувані файли заражені, їм слід перевстановити Windows, щоб убезпечити себе.

Крім того, оскільки Smokeloader використовується для розповсюдження програми очищення даних Azov, вона, ймовірно, також встановлена разом з іншим шкідливим програмним забезпеченням, таким як шкідливе програмне забезпечення для крадіжки паролів. Тому дуже важливо скинути будь-які паролі до облікових записів електронної пошти, фінансових послуг або іншої конфіденційної інформації.

Нарешті, незважаючи на те, що програма-вимагач названа на честь українського військового полку «Азов», ця шкідлива програма, ймовірно, не пов’язана з країною та просто використовує назву як приманку.

Євген
Євген
Євген пише для TechToday з 2012 року. Інженер за освітою. Захоплюється реставрацією старих автомобілів.

Vodafone

Залишайтеся з нами

10,052Фанитак
1,445Послідовникислідувати
105Абонентипідписуватися