Софтуер и IT Новини

DetoxCrypto: още един криптовирус, който използва манията по Pokemon GO

DetoxCrypto: още един криптовирус


DetoxCrypto е криптовирус/ransomware, който се възползва от плъзналата по цял свят мания по Pokemon GO, за да заразява потребителите и да криптира техните файлове. Идва в два варианта, като единият показва картинка на Pokemon.

Нов вид криптовирус/ransomware се появи на бял свят. Той се казва DetoxCrypto, и към момента има две активни версии, като най-вероятно за в бъдеще ще има още.

Изследовател по сигурността от екипа на [url=https://twitter.com/malwrhunterteam“ target=“_blank“ rel=“nofollow]MalwareHunterTeam[/url] откри първата версия на криптовируса, която използва Pokemon изображения за тапетите, които слага на заразените компютри.

Втората версия дойде само ден след това, като тя използва по-подробно съобщение, което поставя на десктопа, с добавена възможност да снима десктопа на заразаната машина при първо стартиране. Втората версия на DetoxCrypto (Calipso) беше открита от разработчика по сигурността от Intel [url=https://twitter.com/Seifreed“ target=“_blank“ rel=“nofollow]Marc Rivero López[/url].

При направен анализ от Lawrence Abrams се разбира, че двете версии са доста сходни. Те заразяват жертвата с изпълним .exe файл, който се разопакова в още четири допълнителни файла. Единият от тях е тапетът, който ще се постави на заразения компютър. Другите са аудио файл, който ще бъду възпроизведен, когато се появи съобщението за откуп, файл с име MicrosoftHost.exe, който извършва работата по криптирането на потребителските файлове и още един изпълним .exe файл, който е с две имена – Pokemon.exe или Calipso.exe – и работата му е да показва съобщението за откупа в собствен прозорец.

Измамниците искат да им бъдат платени три биткоина, като дори препоръчват сайт, откъдето могат да бъдат закупени. Потребителите биват предупредени, че ако не платят до 96 часа, всичките им файлове ще бъдат изтрити.

DetoxCrypto криптовирусът не използва Tor базиран уеб сайт за осъществяване на плащанията, а кара потребителите да се свържат с кибер-престъпниците по имейл, като се използват два различни имейл адреса.

Най-вероятно се е появил нов RaaS (Ransomware-as-a-Service) сайт, който е пуснат наскоро. Според MalwareHunterTeam този криптовирус/ransomware е все още в разработка и засега няма засилена кампания по разпространението му.

От Lawrence Abrams публикуваха клипове на вариантите на DetoxCrypto в действие.

0/5 (0 Reviews)
Exit mobile version