SyncCrypt использует стеганографию для обхода обнаружения антивирусами
22.08.2017
Обнаруженный недавно новый вид вымогательского ПО SyncCrypt, распространятся по почте в виде спама. К нему прилагается вложеный файл в формате WSF, выглядящий как судебная повестка.
После запуска вложенного файла, встроенный JScript обращается к внешнему сайту и загружает на систему жертвы несколько изображений. Компоненты вредоносного ПО скрыты внутри изображений в виде ZIP-архивов. JScript извлекает из архива следующие файлы: sync.exe, readme.html, и andreadme.png.
"Если пользователь просто откроет один из этих URL-адресов изображений напрямую, он увидит просто обложку альбома "& They Have Escaped the Weight of Darkness" исландского певца Олафура Арнальдса", - говорится в анализе Bleepingcomputer.
Файл WSF также создает системную задачу Windows под названием Sync, которая начинает сканирование зараженной системы на предмет файлов определенного типа и шифрует их с помощью алгоритма AES.
SyncCrypt использует встроенный публичный ключ RSA-4096 для последующего шифрования ключа AES.
Программа-вымогатель нацелена на более чем 350 типов файлов и после шифрования добавляет к ним расширение .kk. Исследователь также отметил, что программа пропускает файлы, расположенные в определённых папках, в том числе:
windows
program files (x86)
program files
programdata
winnt
system volume information
desktop
eadme
$recycle.bin
Программа требует выкуп в размере $429 за дешифрование файлов. После осуществления оплаты, для получения дешифратора жертва должна отправить электронное письмо с файлом ключа на один из следующих адресов: getmyfiles@keemail.me, getmyfiles@scryptmail.com или getmyfiles@Mail2tor.com.
По данным VirusTotal, лишь один из 58 антивирусов смог выявить угрозу.
К сожалению, на данный момент нет способа бесплатно дешифровать файлы, зашифрованные SyncCrypt.
