Новый блокер шифрует файлы двадцати разных игр
Новости Игры
Обнаружен блокер, который шифрует файлы, ассоциированные с двадцатью разными онлайн-играми, сообщает «Лаборатория Касперского».
Шифруя файлы, новый блокер оперирует списком более чем из 50 разных расширений. Кроме файлов, ассоциированных с видеоиграми, он ищет также изображения, документы, файлы iTunes и т.п. Тем не менее основным объектом его внимания являются популярные индивидуальные игры, такие как Call of Duty, Minecraft, Half Life 2, Elder Scrolls, Skyrim, Assassin’s Creed, онлайн-игры вроде World of Warcraft, Day Z и League of Legends, а также ряд игр, выпускаемых EA Sports, Valve и Bethesda. Судя по всему, сообщество Steam тоже входит в круг его потенциальных мишеней.
Исследователи из Bromium обнаружили сайт, раздающий нового зловреда, которого они определили как вариант CryptoLocker. По свидетельству экспертов, загрузка в данном случае происходит в результате отработки Flash-эксплойта из набора Angler, размещенного на сайте, доступном через редирект. «Этот сайт использует WordPress и, вероятно, был скомпрометирован через одну из многочисленных WP-уязвимостей, — пишет Вадим Котов в информационном бюллетене Bromium.
По словам Котова, злоумышленники на сей раз отказались от типовых iframe-редиректоров и используют Flash-файл, прикрытый невидимым тэгом, — скорее всего, это попытка защитить вредоносный объект от обнаружения. Визитера вначале проверяют на наличие виртуальных машин и антивирусов, а затем уже отдают Flash-эксплойт к CVE-2015-0311 или IE к CVE-2013-2551.
Как показал анализ, загружаемый через эксплойт вымогатель по поведению схож с классическим CryptoLocker: он с помощью баннера сообщает жертве, что ее файлы зашифрованы, и требует выкуп в биткоинах. Если указанный сайт для оплаты декриптора не работает, пользователю предлагают пройти в Tor.
«Этот внушительный список игр, интересующих шифровальщика, свидетельствует об эволюции этих зловредов по мере появления новых объектов для атак, — комментирует Котов. — Многие молодые люди не хранят критически важные документы или исходные коды на своих компьютерах (даже фото обычно переносятся на Tumblr или Facebook), однако я уверен, что у большинства из них есть Steam-аккаунт с несколькими игрушками, а также учетная запись iTunes, где полно разной музыки. Такие атаки способны обескуражить и тех, кто не увлекается играми: никому не хочется терять свою информацию».
По словам эксперта, некоторые файлы, зашифрованные данным зловредом, восстановить невозможно; к этой категории относятся данные профилей пользователя, сохраненные игры, их схемы и модификации.
|
