О появлении нового шифровальщика, основанного на старой версии вымогательской программы CryptoWall, сообщается на Abuse.ch – швейцарском блоге, посвященном информационной безопасности. Вредоносная программа PadCrypt выделяется среди своих аналогов наличием деинсталлятора unistl.exe и встроенного чата «технической поддержки», благодаря которому жертва может выйти на связь с преступниками.
По мнению экспертов, PadCrypt в основном распространяется с помощью писем с вредоносными вложенными pdf-файлами. При открытии вложенного файла PadCrypt осуществляет шифровку пользовательских файлов и удаляет резервные копии, чтобы не дать жертве воспользоваться программой для восстановления HDD.
Во всех папках вредоносная программа генерирует текстовые и HTML-документы, содержащие требование выкупа, а также отображает соответствующее всплывающее окно. Преступники требуют от пострадавших заплатить 0,8 биткоина (или 320 долларов).
Примечательно, что в окне с требованием выкупа содержится ссылка на некий Live Chat. Если пользователь перейдет по ссылке, то на экране появится окно с чатом «технической поддержки». С его помощью пострадавшие пользователи могут напрямую пообщаться с преступниками. Однако непонятно, как работает чат, поскольку командные серверы операторов вредоносной программы пока отключены.
Версии CryptoWall с подобным чатами фиксировались и ранее, но общение осуществлялось на базе сайтов, которые пользователи должны были посетить, чтобы перечислить выкуп. В случае с PadCrypt чат встроен в программу и работает на компьютере пользователя. Для его запуска не нужен браузер.
Странным является наличие в PadCrypt работающей программы удаления unistl.exe. Деинсталлятор не расшифрует файлы, но полностью удалит вредоносную программу из системы. По мнению экспертов, разработчики шифровальщика при его создании пользовались готовым шаблоном, потому деинсталлятор был автоматически сгенерирован.
На данный момент не обнаружено никаких уязвимостей в алгоритме шифрования PadCrypt.