Зашифрованные VirLocker файлы можно восстановить без выкупа
Эксперты компании Malwarebytes обнаружили метод, позволяющий восстановить зашифрованные вымогателем VirLocker файлы без оплаты выкупа. Для этого нужно всего лишь заставить шифровальщик думать, что требуемая сумма уже оплачена.
Первые версии семейства VirLocker появились несколько лет назад. По аналогии с другими шифровальщиками VirLocker блокирует рабочий стол инфицированного компьютера, шифрует файлы и выводит на экран сообщение с требованием выкупа (как правило, замаскированное под уведомление правоохранительных органов о каком-либо нарушении).
В дополнение к «традиционному» функционалу, вредонос способен к «саморазмножению» путем внедрения своего вредоносного кода в структуру практически любого файла на зараженном компьютере - от картинок до приложений. При инфицировании неисполняемого файла VirLocker преобразует его в исполняемый, добавляя расширение .exe. Открытие файла приведет к повторному запуску вредоносного ПО или инфицированию новой жертвы, если зараженные файлы окажутся на другом компьютере.
В ходе анализа новой версии VirLocker эксперты выяснили, что любая 64-значная последовательность (например, последовательность из 64 нулей), введенная в текстовое поле «Transfer ID:» будет расцениваться вредоносом как реальная оплата. После ввода символов и нажатия на «Pay Fine» («Оплатить штраф») рабочий стол будет разблокирован. Поскольку VirLocker будет думать, что требуемая сумму уже оплачена, пользователь сможет получить доступ к оригинальным файлам. Эксперты рекомендуют сохранить копии важных файлов на флеш-накопителе и форматировать жесткие диски.
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш