Начиная с 13 января, Microsoft обнаружила новые атаки, в которых файл MBRLocker, содержащий вредоносное ПО, использовалось для преднамеренного уничтожения данных жертвы.
Microsoft называет это новое семейство вредоносных программ «WhisperGate» и поясняет в отчете, что оно разворачивается с помощью двух разных компонентов вредоносного ПО.
Первый компонент с именем stage1.exe запускается из папок C:\PerfLogs, C:\ProgramData, C:\ или C:\temp, перезаписывая основную загрузочную запись для отображения примечания о выкупе.
Блокировщик MBR — это программа, которая заменяет «основную загрузочную запись», место на жестком диске компьютера, содержащее информацию о разделах диска и небольшой исполняемый файл, используемый для загрузки операционной системы.
В примечании о выкупе от WhisperGate жертве предлагается отправить 10 000 долларов в биткойнах на адрес 1AVNM68gj6PGPFcJuftKATa4WLnzg8fpfv, а затем связаться с злоумышленниками через включенный идентификатор чата Tox.
