Хакеры используют KeyPass вымогателя для ручных атак

Новый вариант KeyPass с ручной функцией, отметился в более чем 20 странах

Исследователи безопасности Kaspersky опубликовали отчет о новом варианте KeyPass вымогателя, который с 8 августа совершает атаки по всему миру. Вредоносная программа приобрела новую функцию, которая позволяет злоумышленникам удаленно изменять вредоносный код, позволяя им изменять процедуру шифрования.

Эксперты по вопросам безопасности отметили, что вирус уже заразил более 100 жертв, в основном из развивающихся стран. Наиболее пострадавшими были жертвы из Бразилии (19,5% случаев) и Вьетнама (14,6%). Среди жертв также были люди из Алжира, Индии, Ирана, а также несколько заражений во Франции и Германии.

О распространении KeyPass вымогателя известно немного, хотя некоторые пользователи упомянули, что они пытались загрузить взломанную программу KMSpico. Другие жертвы заявили, что до атаки вредоносного ПО они ничего не устанавливали на своих машинах.

Как работает KeyPass троян

KeyPass вирус является вариантом STOP вымогателя, который появился еще в феврале 2017 года. Как только вредоносное ПО входит в целевую машину, оно копирует свой исполняемый файл в папку %LocalAppData% и удаляет себя после завершения процесса заражения. Однако перед удалением вредоносная программа копирует свой собственный процесс в несколько разных мест на устройстве. Вскоре после этого поисковая система сканирует устройство для шифрования файлов, как описано исследователями:

KeyPass enumerates local drives and network shares accessible from the infected machine and searches for all files, regardless of their extension. It skips files located in a number of directories, the paths to which are hardcoded into the sample.

Затем вирус пытается подключиться к командному & контрольному серверу для доставки персонального ID и ключа шифрования, который может использоваться для восстановления всех данных.

Затем KeyPass использует шифр AES-256 для шифрования файлов и добавляет расширение KEYPASS, что делает личные данные непригодными для использования. Кроме того, он оставляет записку о выкупе !!!KEYPASS_DECRYPTION_INFO!!!.txt которая помещается в каждую из затронутых папок. Хакеры требуют $300 в BTC для выпуска файлов, и сума увеличивается, если платеж не будет отправлен в течение 72 часов.

В случае, если интернет-соединение на зараженном ПК не установлено или Command & Control сервер недоступен, вредоносное ПО будет шифровать данные с использованием жесткого кодирования и ID, что позволяет получить данные назад относительно легко.

Функция ручного управления позволяет хакерам готовить целенаправленные и более опасные атаки

KeyPass троян содержит форму, которая по умолчанию скрыта. Однако к форме можно получить доступ, нажав определенную кнопку на клавиатуре. Специалисты Kaspersky утверждают, что эта функция позволяет хакерам управлять вредоносной программой вручную.

Хотя скрытая функция может мало что значить для жертв, хакеры могут использовать ее для ручного изменения параметров вредоносного ПО, в том числе:

• ID жертвы;
• Файл расширения;
• Имени записки о выкупе;
• Контекст записки о выкупе;
• Ключ шифрования, другое.

Это означает, что размер выкупа может быть изменен также.

Вымогатель является одним из опасных типов вредоносных программ и распространяется с 2013 года с выпуском CryptoLocker. Были созданы ботнеты, которые значительно облегчили распространение вредоносного ПО. Некоторые вирусы прибегали к блокировке экранов пользователей, отображая поддельное сообщение, притворяясь ФБР или полицией, в то время как угрозы, подобные WannaCry, и Petya несколько дней разрушали операцию нескольких авторитетных организаций и правительственных учреждений. Компании получали ущерб миллионами долларов в качестве компенсации.

Таким образом, вымогатель по-прежнему остается одной из самых больших кбер-угроз, и пользователи должны предпринять необходимые меры безопасности для избегания атак.