Как сообщает Bleeping Computer, новая вымогательская программа DetoxCrypto была обнаружена исследователем информационной безопасности, который известен как MalwareHunterTeam. Программа имеет два варианта: первый может делать скриншоты экрана зараженного компьютера и передавать их на подконтрольный хакерам C&C-сервер, а второй замаскирован под приложение Pokémon Go.
В обоих вариантах есть стандартный функционал вымогательской программы. Вредоносные программы осуществляют шифрование файлов, используя алгоритм AES, и могут приостановить работу сервисов MySQL и MSSQL на зараженном компьютере. При проникновении в систему обе троянские программы демонстрируют сообщение с требованием выкупа и одновременно с этим запускают аудиофайл.
Исследователь пока не определил, каким образом распространяется данное вредоносное программное обеспечение. Как утверждает эксперт, в обоих вариантах содержится исполняемый файл, который состоит из нескольких компонентов. После запуска программы происходит извлечение файла MicrosoftHost.exe, аудиозаписи, фонового изображения, а также исполняемого файла, чье название зависит от версии ПО (Calipso.exe или Pokemon.exe).
MicrosoftHost.exe применяется для того, чтобы зашифровать контент и остановить процессы MySQL и MSSQL на зараженном компьютере. Другой исполняемый файл отображает уведомление о блокировке, проигрывает аудиозапись и восстанавливает зашифрованную информацию, если пользователь введет правильный пароль.
Версия Calipso также делает скриншоты, которые затем отправляет киберпреступникам. По мнению эксперта, операторы троянской программы формируют сумму выкупа, основываясь на информации из скриншота.