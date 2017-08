SyncCrypt использует стеганографию для обхода обнаружения антивирусами

Обнаруженный недавно новый вид вымогательского ПО SyncCrypt, распространятся по почте в виде спама. К нему прилагается вложеный файл в формате WSF, выглядящий как судебная повестка.

После запуска вложенного файла, встроенный JScript обращается к внешнему сайту и загружает на систему жертвы несколько изображений. Компоненты вредоносного ПО скрыты внутри изображений в виде ZIP-архивов. JScript извлекает из архива следующие файлы: sync.exe, readme.html, и andreadme.png.

"Если пользователь просто откроет один из этих URL-адресов изображений напрямую, он увидит просто обложку альбома "& They Have Escaped the Weight of Darkness" исландского певца Олафура Арнальдса", - говорится в анализе Bleepingcomputer.

Файл WSF также создает системную задачу Windows под названием Sync, которая начинает сканирование зараженной системы на предмет файлов определенного типа и шифрует их с помощью алгоритма AES.

SyncCrypt использует встроенный публичный ключ RSA-4096 для последующего шифрования ключа AES.

Программа-вымогатель нацелена на более чем 350 типов файлов и после шифрования добавляет к ним расширение .kk. Исследователь также отметил, что программа пропускает файлы, расположенные в определённых папках, в том числе:

windows

program files (x86)

program files

programdata

winnt

system volume information

desktop eadme

$recycle.bin

Программа требует выкуп в размере $429 за дешифрование файлов. После осуществления оплаты, для получения дешифратора жертва должна отправить электронное письмо с файлом ключа на один из следующих адресов: getmyfiles@keemail.me, getmyfiles@scryptmail.com или getmyfiles@Mail2tor.com.

По данным VirusTotal, лишь один из 58 антивирусов смог выявить угрозу.

К сожалению, на данный момент нет способа бесплатно дешифровать файлы, зашифрованные SyncCrypt.

