Шифровальщик-пустышка

Специалисты Talos security division компании Cisco обнаружили новый зловред, который выдает себя за троянца-шифровальщика, не являясь им в действительности. Инфицируя компьютеры пользователей, вредоносное ПО, получившее название Ranscam, не утруждает себя шифрованием файлов, попросту удаляя их. Кроме того, зловред меняет системные настройки, делая невозможным запуск восстановления системы, перезагрузку в безопасном режиме и ряд других операций, которые теоретически могли бы помочь в данной ситуации.

При этом Ranscam выводит на дисплей уведомление о том, что компьютер инфицирован именно шифровальщиком и для восстановления файлов необходимо заплатить 0,2 биткоина (порядка 125 долларов). Для «удобства» жертв уведомление снабжено специальной активной кнопкой для осуществления платежа. Однако после перечисления денег на экране возникает сообщение о том, что платеж не был осуществлен. Возможно, организаторы отчасти рассчитывают на то, что отчаявшиеся пользователи попытаются повторить процедуру. Но главный смысл в том, что и после осуществления оплаты они в любом случае не могут выполнить свое обещание и восстановить файлы, а потому предпочитают делать вид, что денег не получили.

Эксперты Cisco Talos отмечают, что атаки Ranscam организованы, вероятно, любителями быстрой наживы и не имеют широкого распространения. Однако сама ситуация является весьма поучительной. Советы платить хакерам за расшифровку заблокированных файлов звучат в последнее время довольно часто и от весьма авторитетных инстанций – в частности, такое мнение высказывали представители ФБР США. Однако специалисты по кибербезопасности категорически против такого подхода, и пример Ranscam подтверждает их правоту. Организаторы атаки физически не в состоянии восстановить данные, поскольку не блокируют, а удаляют их. И получение платы от жертв лишь обогащает их и вдохновляет на новые преступления.