FireCrypt – криптовальщик с DDOS функционалом.

Кроме шифрования файлов, вымогатель FireCrypt также пытается провести DDoS-атаку небольшой мощности. Новоявленный гибрид-полиморфик был обнаружен исследователями из Malware Hunter Team и проанализирован Лоуренсом Абрамсом (Lawrence Abrams) из Bleeping Computer.

Image result for FireCrypt

Согласно описанию на BleepingComputer.com, автор FireCrypt создает уникальные исполняемые файлы с помощью билдера BleedGreen, позволяющего маскировать их под документы DOC или PDF. При запуске FireCrypt принудительно завершает процесс Task Manager и шифрует 256-битным ключом AES файлы 20 типов, добавляя к итогу расширение .firecrypt. После этого жертве отображается сообщение с требованием выкупа в размере $500 (в биткойнах).

По свидетельству экспертов, это сообщение – очень близкая копия нотификации Deadly for a Good Purpose, вымогателя, обнаруженного Malware Hunter Team в октябре прошлого года. С этим предшественником FireCrypt также роднят одинаковые контактный адрес email и Bitcoin-кошелек, указанные злоумышленниками. Не исключено, что FireCrypt – это просто версия Deadly for a Good Purpose, распространяемая под новым именем.

Главным отличием новобранца от прочих криптоблокеров является дополнительная DDoS-функция. Потребовав выкуп, FireCrypt обращается к прописанному в коде URL и начинает сгружать некий контент, сохраняя его во временных файлах. Согласно Bleeping Computer, текущая версия FireCrypt запрашивает pta.gov.pk, официальный портал пакистанского органа по надзору в сфере телекоммуникаций. Если жертва не заметит этих действий, зловред быстро заполнит папку %Temp% мусорными файлами с заданного сайта, постоянные обращения к которому можно с натяжкой классифицировать как низкоуровневую DDoS-атаку.

«Злоумышленнику придется заразить тысячи жертв для проведения достаточно мощной DDoS-атаки, способной создать проблемы на сайте этого правительственного органа, – пишет репортер Bleeping Computer. – Более того, все заражения должны произойти одновременно, и компьютеры жертв должны быть подключены к интернету, чтобы иметь возможность принять участие в DDoS-атаке».

Абрамс полагает, что автор FireCrypt снабдил свое детище DDoS-компонентом в качестве эксперимента, и это нововведение вряд ли заинтересует других злоумышленников. «Правильно выполненная DDoS-атака с использованием вредоносного ПО требует постоянства присутствия и скрытности, – комментирует эксперт. – Это явно несовместимо с успешной вымогательской кампанией, которая предполагает запуск и останов, показ требования выкупа и ожидание платежа. Лишь немногие вымогатели выказывают какую-либо персистентность, кроме отображения требования выкупа».

Вероятность обнаружения активности DDoS-компонента антивирусным сканером, по словам Абрамса, тоже снижает шансы FireCrypt на успех как дидосера. «Осуществление шифрования на компьютере заставит жертву просканировать его на предмет вредоносного ПО, и стойкий DDoS-компонент будет обнаружен, – пояснил Абрамс. – Не думаю, что это целесообразный метод проведения атак, требующих постоянного присутствия в системе».

Рейтинг материала
[Голосов: 1 Рейтинг: 5]
07 января 2017, 20:01

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *