Эксперт Джири Винопал из Checkpoint сообщил о новом вредоносном программном обеспечении, уничтожающем данные. Оно становится все более популярным и с каждым днем заражает все больше конечных устройств. Самое интересное, что оно выдает себя за программу-вымогатель, а также уничтожает данные циклами по 666 байтов.
Злонамеренное программное обеспечение называется Azov Ransomware, и при запуске на устройстве жертвы оно перезаписывает файлы мусором. Перезапись происходит циклически: злонамеренное программное обеспечение перезаписывает 666 байт данных, затем оставляет следующие 666 неприкосновенными, а затем повторяет процесс.
Несмотря на то, что нет способа восстановить поврежденные файлы, нет ключа расшифровки или требований выкупа, вредоносное ПО все равно поставляется с уведомлением о выкупе. В нем говорится, что жертвы должны обратиться за помощью к исследователям безопасности и журналистам.
Еще одна интересная вещь о программе-вымогателе Azov заключается в том, что она поставляется с триггером, который на конечном устройстве ожидал до 27 октября, 10:14:30 по UTC, после чего начинала свою работу.
Когда наступила эта дата, жертве не обязательно запускать какой-либо исполняемый файл – подойдет практически любая программа. Это потому, что вирус заразит все остальные 64-разрядные исполняемые файлы на устройствах, путь к файлу которых не содержит этих строк:
:\Windows
\ProgramData\
\cache2\entries
\Low\Content.IE5\
\User Data\Default\Cache\
Documents and Settings
\All Users
Другими словами, запуск, казалось бы, безопасной программы приведет к сбою компьютера и уничтожению всех данных на нем.Программное обеспечение Azov распространяется через ботнет Smokeloader, который обычно встречается в поддельном пиратском программном обеспечении и сайтах, где распространяют «кряки».
Непонятно, зачем злоумышленник тратит деньги на распространение очистителя данных. Однако теории варьируются от того, чтобы скрыть другое злонамеренное поведение или просто «троллить» сообщество кибербезопасности.
Независимо от причин, жертвы, зараженные Azov Ransomware, не смогут восстановить свои файлы, а поскольку другие исполняемые файлы заражены, им следует переустановить Windows, чтобы обезопасить себя.
Кроме того, поскольку Smokeloader используется для распространения программы очистки данных Azov, она, вероятно, также установлена ??вместе с другим вредоносным программным обеспечением, таким как вредоносное программное обеспечение для кражи паролей. Поэтому очень важно сбросить любые пароли для учетных записей электронной почты, финансовых услуг или другой конфиденциальной информации.
Наконец, несмотря на то, что программа-требитель названа в честь украинского военного полка «Азов», эта вредоносная программа, вероятно, не связана со страной и просто использует название как приманку.
