«Мы ESET» – сообщество пользователей антивируса ESET NOD32. Мы живем в разных городах, общаемся с разными людьми, но всех нас объединяет надежная защита ESET.
13 сентября 2017 1492

Фальшивый шифратор. Хакеры мечтают воспользоваться славой Petya и Wannacry

ESET предупреждает о росте активности вредоносной программы, имитирующей поведение «классических» вымогателей. MSIL/Hoax.Fake.Filecoder требует выкуп за расшифровку файлов, хотя на самом деле не поддерживает функцию шифрования.

MSIL/Hoax.Fake.Filecoder распространяется по стандартной для большинства шифраторов схеме –
в электронной почте с вредоносным вложением или ссылкой. В качестве документа-приманки, запускающего загрузку вредоносной программы, выступают «исковые заявления», «кредитные договора», «неоплаченные счета» и пр.

Далее лжевымогатель выводит на экран зараженного компьютера требование выкупа. Сообщение закрывает рабочий стол, блокируя доступ пользователя к файлам, папкам и приложениям.

Авторы сообщения утверждают, что все важные документы, фото и видеоматериалы, базы данных и другие ценные файлы заблокированы. Пользователю предлагается внести выкуп в размере 0,5 биткоина в течение трех дней. Через три дня сумма выкупа удваивается, через семь – расшифровать файлы будет невозможно.

MSIL/Hoax.Fake.Filecoder убедительно копирует поведение шифратора. Тем не менее, вредоносная программа не способна зашифровать данные – в ее коде не предусмотрена возможность поиска целевых файлов и отсутствует реализация какого-либо алгоритма шифрования. Более того, избавиться от требования выкупа на экране позволит простая перезагрузка компьютера.

Операторы лжешифратора рассчитывают исключительно на методы социальной инженерии, а также общественный резонанс от недавних атак шифраторов. ESET рекомендует игнорировать спам-рассылки, не открывать вложения и не переходить по ссылкам из подозрительных писем, а также защитить компьютер комплексным антивирусным ПО.

Антивирусные продукты ESET детектируют поддельный шифратор как MSIL/Hoax.Fake.Filecoder.

Комментарии

7
Оставьте комментарий!
Никита Колмаков 19 сентября 2017 в 08:36 #
Спасибо за информацию
Антон Тарасов 19 сентября 2017 в 15:29 #
Всегда держим в курсе 0
валентин ветров 20 сентября 2017 в 08:07 #
БЛАГОДАРЮ!13
talzetl 20 сентября 2017 в 10:42 #
Надеюсь, что балбесов, которые открывают вложения в письмах от неизвестных людей и организаций, с каждым годом становится меньше. Или я ошибаюсь?:) Такие вложения не только нельзя открывать, но даже сами письма лучше сразу удалять не читая.
Oleg Mamzurin 20 сентября 2017 в 14:50 #
Сегодня много подобного было (на работе), но на virustotal.com подвох заметил только TrendMiicro. Штатный Касперский Endpoint Security 10, правда, промолчал тоже.
Антон Тарасов 20 сентября 2017 в 17:53 #
ESET детектирует угрозу как MSIL/Hoax.Fake.Filecoder 14
Oleg Mamzurin 20 сентября 2017 в 20:34 #
Так написано в статье. К полудню 20.09.17 на сайте virustotal.com - не детектировал, хотя в списках значится и часто оказывается в числе первых, срабатывающих на угрозу. Это не в пику вам, просто констатация факта.
С почтового сервера всё удалил, из дома же не могу до заражённого файла "дотянуться", чтобы проверить его ESET'ом "стационарным".