Обнаружен первый вымогатель, требующий выкуп в Monero

В сети обнаружен новый шифровальщик Kirk, который эксплуатирует популярную франшизу «Звездный путь» и принимает выкуп в Monero. Об этом пишет Xakep.ru.

Вирус-вымогатель выявил сотрудник компании Avast Якуб Круст. Исследователь сообщает, что вредонос написан на Python и, судя по всему, является первым вымогателем, который принимает выкуп не в привычных биткоинах, а в криптовалюте Monero.

 

В настоящий момент неизвестно, как именно распространятся Kirk, но исследователи пишут, что шифровальщик маскируется под известный опенсорсный инструмент LOIC (Low Orbit Ion Cannon, «Низкоорбитальная ионная пушка»), который часто применяется вовсе не для тестов, а для проведения Dos- и DDoS-атак.

Kirk шифрует файлы 625 типов, добавляя к их расширениям .kirk. Специалисты предупреждают, что пока расшифровать пострадавшие от малвари данные не представляется возможным. После запуска Kirk генерирует AES-ключ, которым шифруются файлы пользователя, а затем этот ключ шифруется при помощи встроенного публичного ключа RSA-4096 и сохраняется в файле pwd, в той же директории, откуда изначально был осуществлен запуск программы.

Хакеры оказались также с чувством юмора: официальный дешифровщик называется Spock, а хакеры желают своим жертвам «жить долго и процветать».

Исследователи Avast пока не видели, что представляет собой дешифровщик, поэтому никаких комментариев на этот счет они дать не смогли.

Напомним, в прошлом году был выявлен троян Mal/Miner-C – написанный NSIS (Nullsoft Scriptable Install System), он заражает и использует для дальнейшего распространения устройства NAS (network-attached storage), а затем майнит Monero.

Реклама

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s