Среда, 4 декабря, 2024

Вирус Azov Ransomware удаляет по 666 байт данных за цикл

Эксперт Джири Винопал из Checkpoint сообщил о новом вредоносном программном обеспечении, уничтожающем данные. Оно становится все более популярным и с каждым днем заражает все больше конечных устройств. Самое интересное, что оно выдает себя за программу-вымогатель, а также уничтожает данные циклами по 666 байтов.

Злонамеренное программное обеспечение называется Azov Ransomware, и при запуске на устройстве жертвы оно перезаписывает файлы мусором. Перезапись происходит циклически: злонамеренное программное обеспечение перезаписывает 666 байт данных, затем оставляет следующие 666 неприкосновенными, а затем повторяет процесс.

Несмотря на то, что нет способа восстановить поврежденные файлы, нет ключа расшифровки или требований выкупа, вредоносное ПО все равно поставляется с уведомлением о выкупе. В нем говорится, что жертвы должны обратиться за помощью к исследователям безопасности и журналистам.

Еще одна интересная вещь о программе-вымогателе Azov заключается в том, что она поставляется с триггером, который на конечном устройстве ожидал до 27 октября, 10:14:30 по UTC, после чего начинала свою работу.

Когда наступила эта дата, жертве не обязательно запускать какой-либо исполняемый файл – подойдет практически любая программа. Это потому, что вирус заразит все остальные 64-разрядные исполняемые файлы на устройствах, путь к файлу которых не содержит этих строк:

:\Windows

\ProgramData\

\cache2\entries

\Low\Content.IE5\

\User Data\Default\Cache\

Documents and Settings

\All Users

Другими словами, запуск, казалось бы, безопасной программы приведет к сбою компьютера и уничтожению всех данных на нем.Программное обеспечение Azov распространяется через ботнет Smokeloader, который обычно встречается в поддельном пиратском программном обеспечении и сайтах, где распространяют «кряки».

Непонятно, зачем злоумышленник тратит деньги на распространение очистителя данных. Однако теории варьируются от того, чтобы скрыть другое злонамеренное поведение или просто «троллить» сообщество кибербезопасности.

Независимо от причин, жертвы, зараженные Azov Ransomware, не смогут восстановить свои файлы, а поскольку другие исполняемые файлы заражены, им следует переустановить Windows, чтобы обезопасить себя.

Кроме того, поскольку Smokeloader используется для распространения программы очистки данных Azov, она, вероятно, также установлена ??вместе с другим вредоносным программным обеспечением, таким как вредоносное программное обеспечение для кражи паролей. Поэтому очень важно сбросить любые пароли для учетных записей электронной почты, финансовых услуг или другой конфиденциальной информации.

Наконец, несмотря на то, что программа-требитель названа в честь украинского военного полка «Азов», эта вредоносная программа, вероятно, не связана со страной и просто использует название как приманку.

Євген
Євген
Евгений пишет для TechToday с 2012 года. По образованию инженер,. Увлекается реставрацией старых автомобилей.

Vodafone

Залишайтеся з нами

10,052Фанитак
1,445Послідовникислідувати
105Абонентипідписуватися