Обнаружена новая вымогательская программа DXXD, способная добавлять ключи в реестр Windows и заменять экран входа сообщением с требованием выкупа за восстановление зашифрованной информации. Это уведомление можно закрыть, нажав на кнопку «ОК», после чего пользователь может пройти процедуру авторизации в системе.
Первый вариант вредоносной программы был выявлен в конце сентября. При проникновении в систему DXXD осуществляет шифровку файлов на компьютере, а также добавляет к ним расширение .dxxd. В начале октября эксперт Майкл Гиллеспи осуществил взлом алгоритма шифрования, используемого в DXXD, и разработал утилиту для восстановления данных, которые были зашифрованы вымогательской программой. После релиза этого инструмента разработчик DXXD выпустил вторую версию своей программы, алгоритм шифрования которой был исправлен.
Кроме того, создатель DXXD хотел запутать экспертов, утверждая, что заражение компьютеров осуществляется с помощью RCE-эксплоита для уязвимости нулевого дня, которая присутствует во всех версиях Windows. Основатель сайта Bleeping Computer Лоуренс Абрамс считает, что это заявление – ложь, так как такой эксплоит на черном рынке стоил бы миллионы долларов и мог бы применяться для более серьезных кибератак.
По мнению Абрамса, создатель вымогательской программы осуществляет взломы серверов с помощью протокола удаленного рабочего стола и собирает пароли, используя метод перебора. Эксперт посоветовал пострадавшим от DXXD поменять все пароли на зараженном компьютере.