Новая вымогательская программа Erebus обнаружена исследователями из MalwareHunterTeam. В прошлом году специалисты TrendMicro рассказали о появлении одноименного шифровальщика, но несколько различий указывают на то, что в этом случае речь идет либо о новой версии Erebus, либо о совершенно новой вымогательской программе, имеющей такое же название.
Методика распространения Erebus на данный момент неизвестна. Вредоносная программа может обходить механизм контроля учетных записей (UAC) для того, чтобы повышать права на системе. Сумма выкупа за восстановление файлов составляет лишь 0,085 биткоина (около 90 долларов).
Вредоносная программа копирует себя в системную папку как файл, имеющий случайное имя, и далее вносит коррективы в реестр Windows, чтобы подменить ассоциацию для файлового расширения .msc и запустить упомянутый выше файл. Затем Erebus осуществляет запуск Просмотра событий (eventvwr.exe), автоматически открывающего eventvwr.msc. Так как msc-файл больше не связан с Консолью управления (mmc.exe), то eventvwr.exe запускает вымогательскую программу. Просмотр событий функционирует в режиме с повышенными привилегиями, поэтому у исполняемого файла будут такие же права, что позволяет обходить UAC.
Erebus осуществляет подключение к веб-страницам ipecho.net/plain и ipinfo.io/country, чтобы определить IP-адрес и местоположение жертвы. Затем вредоносная программа производит загрузку Tor-клиента и пользуется им для подключения к командному серверу. Вымогательская программа ищет документы с определенными расширениями и шифрует их, используя алгоритм AES. Расширения шифруются посредством ROT-23. Затем на экране появляется сообщение с требованием выкупа за восстановление данных. Уведомление содержит уникальный идентификатор, который можно применять как логин на платежном сайте, перечень зашифрованных документов и кнопку для проведения оплаты.