31/10/22
Эксперты кибербезопасности обнаружили новый вайпер Azov Ransomware, который активно распространяется через пиратское ПО, генераторы ключей и пакеты рекламного ПО. Вайпер также пытается подставить известных исследователей безопасности, утверждая, что они стоят за атакой. Об этом пишет Securitylab.
В записке с требованием выкупа говорится, что устройства зашифрованы в знак протеста против присоединения Крыма к России и недостаточной помощи Украине со стороны западных стран.
.png?width=513&height=591&name=content-img(668).png)
Записка о выкупе предлагает жертвам для восстановления файлов связаться с исследователями BleepingComputer, MalwareHunterTeam и AdvIntel в Twitter, выдавая их за операторов программы-вымогателя.
Кроме того, поскольку нет возможности связаться с злоумышленниками, чтобы заплатить выкуп, эксперты рассматривают это вредоносное ПО как вайпер, а не как программу-вымогатель. Некоторые жертвы уже обратились к BleepingComputer за помощью в восстановлении файлов, однако, на данный момент помочь жертвам невозможно.
В рамках новой кампании злоумышленник купил установщик Azov Ransomware через ботнет SmokeLoader. Более того, Azov Ransomware поставляется вместе с инфостилером RedLine Stealer и программой-вымогателем STOP.
По словам экспертов BleepingComputer, жертвы подвергаются двойному шифрованию сначала с помощью Azov Ransomware, а затем с помощью STOP.
После установки Azov Ransomware сканирует все диски на компьютере и шифрует любой файл, не имеющий расширений «.ini», «.dll» и «.exe». К именам зашифрованных файлов добавляется расширение «.azov».
Хотя исследователи будут анализировать программу-вымогатель на наличие слабых мест в шифровании, сейчас это вредоносное ПО следует считать деструктивным, поскольку нет возможности связаться с злоумышленниками и восстановить ключи дешифрования.
