Экспертами BleepingComputer и MalwareHunterTeam обнаружена новая вымогательская программа Cry. Характерные черты данного шифровальщика – хранение сведений о жертвах программы на общедоступных сайтах и вычисление местоположения инфицированного устройства с помощью Google Maps API.
При заражении устройства Cry производит шифрование всей пользовательской информации, заменяет расширения файлов на .cry и удаляет их теневые копии. За восстановление данных операторы программы требуют 1,1 биткоина или 625 долларов. Подобно шифровальщику Cerber, Cry выходит на связь с командными серверами через UDP.
При проникновении на компьютер Cry инициирует сбор подробной информации о версии Windows, процессоре, а также сохраняет имя пользователя и имя инфицированного устройства. После вредоносная программа передает собранную информацию через UDP на 4096 IP-адресов, один из которых является командным сервером. Помимо этого, шифровальщик осуществляет загрузку сведений о своих жертвах на общедоступные сайты, в том числе Imgur.com и Pastee.org. Для этого вредоносная программа сохраняет данные в виде PNG-изображения и размещает его в определенном альбоме. После того, как на сайте файлу было присвоено уникальное имя, Cry передает этот идентификатор на командный сервер.
Кроме того, по словам исследователей, вредоносная программа определяет местоположение своих жертв. Cry использует для этой цели API Google Maps и производит проверку SSID ближайших беспроводных сетей с помощью WlanGetNetworkBssList. На данный момент специалисты пока не выяснили, с какой целью злоумышленники собирают информацию о местонахождении пользователей, но, возможно, эти сведения могут быть использованы как дополнительный рычаг давления.
Другая функция шифровальщика, которую исследователям еще предстоит досконально изучить, – это сохранение ярлыков. Cry сохраняет часть ярлыков пользователя в папке old_shortcuts, но пока непонятно, зачем это нужно киберпреступникам.
По словам специалистов, tor-сайт, на который вымогательская программа направляет жертв, имеет раздел технической поддержки и возможность тестовой и бесплатной расшифровки одного файла. Как отмечают исследователи, в их случае сайт не провел тестовую расшифровку, поэтому данная опция, скорее всего, не работает.