Каждый год в сентябре-октябре «Фантомасы» активизируют троян, который ищет свою жертву.
В последнее время системы защиты детектируют всплеск активности программ-вымогателей, активированных через почтовую рассылку.
Несколько тысяч писем за месяц зафиксировано с вредоносными ссылками на шифровальщика семейства Trojan – Ransom.Win32.Cryakl.
Например, письмо, в котором написано, что вы не получили от нас оригиналы документов, напишите свой адрес для отправки корреспонденции, скан копии можете посмотреть по ссылке. Нажав на ссылку, вы получите уведомление «Your files was encrypted!» и электронный адрес, по которому вам скажут сумму для оплаты за расшифровку компьютера.
Trojan – Ransom.Win32.Cryakl впервые обнаружен российскими компаниями еще в сентябре 2013 года. Первый представитель этого семейства был добавлен в базы данных антивирусных компаний еще в апреле 2014 года. С тех пор семейство успело эволюционировать в своём развитии – пополнить список расширений шифруемых файлов, изменить выбор частей файла для шифрования и способ связи с серверами злоумышленников.
Типичный представитель семейства Cryakl написан на языке Delphi и использует самописный алгоритм для шифрования данных. В процессе заражения троянец создает мастер-ключ, который отправляет по почте своим хозяевам. Впоследствии на основе этого мастер-ключа генерируется уникальный ключ для каждого шифруемого файла. При этом файл шифруется не целиком, а лишь первые 29 байт плюс три блока, расположенные в случайных местах файла.
Шифруя файлы на компьютере, Cryakl создает длинный ключ, который отправляет на командный сервер. Без таких ключей восстановить файлы, испорченные зловредом, практически невозможно. Ну а потом он меняет обои на рабочем столе, помещая туда информацию для связи с создателями вымогателя и требование выкупа. К этому всему Cryakl добавляет маску киношного злодея Фантомаса, за что и получил свое второе имя — «Фантомас».
Мы рекомендуем заранее позаботиться о безопасности данных: