Зловред сам решает, как будет вредить

Специалисты «Лаборатории Касперского» обнаружили, что троянец Rakhni вышел на новый этап своей «эволюции». Сам зловред известен экспертам уже пять лет, и на протяжении этого времени его создатели постоянно усовершенствовали свое детище. Очередное новшество оказалось особенно любопытным: теперь зловред сам решает, каким именно образом он будет вредить инфицированному компьютеру.

Загрузчик Trojan-Downloader.Win32.Rakhni распространяется в спам-сообщениях электронной почты под видом документа Microsoft Word. В случае его загрузки и попытки запуска вредоносное ПО приступает к своей «работе». Троянец сканирует систему в поисках папки %AppData%\Bitcoin. При обнаружении этой папки включается механизм шифрования с использованием алгоритма RSA-1024. Расширение всех зашифрованных файлов меняется на .neitrino. Пользователю предоставляется трехдневный срок на то, чтобы оплатить выкуп и получить ключ расшифровки. Если же искомая папка не обнаружена, а компьютер имеет два и более логических процессора, зловред устанавливает и запускает майнер криптовалюты. Особую опасность Rakhni представляет для российских пользователей: по данным «Лаборатории Касперского» именно на Россию приходятся более 95 процентов всех его атак.