Новый шифровальщик прячется в изображениях

Исследователи сообщают о пополнении в обширном семействе зловредов-вымогателей. Новый шифровальщик SyncCrypt примечателен тем, что его компоненты скрываются в файлах изображений. Вредоносное ПО распространяется в спам-сообщениях с вложенным файлом формата WSF, выдаваемым за судебное постановление. При открытии вложения внедренный в него JScript-код адресуется к серверам, подконтрольным организаторам атаки, и загружает с них несколько файлов.

Все они выглядят как безобидные изображения, однако скрывают в себе компоненты зловреда, которые, как конструктор, собирает тот же JScript-код. SyncCrypt шифрует более 350 типов файлов с помощью алгоритма AES, добавляя к ним расширение .kk. За расшифровку заблокированных вредоносным ПО данных злоумышленники требуют выкуп в сумме 429 долларов. Опасность SyncCrypt усугубляется тем, что, по данным VirusTotal, лишь одна из 58 известных антивирусных программ оказалась в состоянии обнаружить компоненты зловреда в файлах изображений.