×

Неизвестный вирус-вымогатель ARCrypter распространяется по всему миру

Неизвестный вирус-вымогатель ARCrypter распространяется по всему миру

Об операторах ничего не известно, а вектор атаки продолжает быть загадкой.

Ранее неизвестная программа-вымогатель ARCrypter, которая скомпрометировала ключевые организации в Латинской Америке, теперь расширяет свои атаки по всему миру.

Исследователи в своем новом отчете связали ARCrypter с атакой на госучреждение Чили в октябре , которая привела к приостановке работы ведомства.

По словам экспертов The BlackBerry Research and Intelligence Team , ARCrypter в настоящее время расширяет свою деятельность за пределами Латинской Америки и нацелен на различные организации по всему миру, в том числе в Китае, Канаде, Германии, США и Франции.

Требования выкупа в каждом случае варьируются и достигают $5000. Эксперты объясняют это тем, ARCrypter является программой-вымогателем среднего уровня.

BlackBerry сообщает, что первые образцы ARCrypter появились в начале августа 2022 года, за несколько недель до атаки в Чили.

Вектор атаки остается неизвестным, но аналитики смогли найти 2 URL-адреса AnonFiles, которые используются в качестве удаленных серверов для получения архива «win.zip», содержащего исполняемый файл «win.exe».


Страница загрузки исполняемого файла «win.exe»

Исполняемый файл представляет собой файл-дроппер, содержащий ресурсы BIN и HTML. HTML содержит записку о выкупе, а BIN включает в себя зашифрованные данные, для которых требуется пароль.

Если пароль указан, BIN-файл создает на скомпрометированном устройстве случайный каталог для хранения полезной нагрузки второго этапа ARCrypter, которая создает собственный раздел реестра для сохранения постоянства в системе.

Полезная нагрузка в каталоге на устройстве. Название нагрузки состоит из случайного набора букв и цифр.

Затем ARCrypter удаляет все теневые копии томов, чтобы предотвратить восстановление данных, изменяет сетевые настройки для обеспечения стабильного подключения, а затем шифрует файлы, кроме определенных типов.

Типы файлов, исключенные из шифрования

Файлы в папках «Загрузки» и «Windows» также пропускаются, чтобы не сделать систему полностью непригодной для использования.

Помимо расширения «.crypt», зашифрованные файлы отображают сообщение «ALL YOUR FILES HAS BEEN ENCRYPTED».

Зашифрованные файлы

Примечательно, что вымогатели утверждают, что они крадут данные во время своих атак, но у них нет сайта утечки для публикации украденных файлов.

В настоящее время операторах ARCrypter почти ничего не известно – их происхождение, язык и потенциальные связи с другими группировками.

Похитители заставили москвича отдать пароль от криптокошелька с биткоинами на 261 млн рублей

Неизвестные преступники похитили москвича, вывезли в Подмосковье и угрозами вынудили передать им ключ от кошелька с 250 биткоинами

Путин на совещании с Совбезом обсудил подготовку кадров для обеспечения информационной безопасности

Владимир Путин в режиме видеоконференции провел оперативное совещание с постоянными членами Совета Безопасности.

Вышла Green Linux 21 – антисанкционная ОС для российского рынка

Новый дистрибутив адаптирован именно под российского пользователя и полностью независим от внешних факторов.