Как сообщают эксперты Proofpoint, инструмент RannohDecryptor, который был разработан экспертами «Лаборатории Касперского» для восстановления файлов, зашифрованных с помощью CryptXXX, не работает с последней версией вымогательской программы.
28 апреля появилась CryptXXX 2.000, но новейшая версия 2.006 была выявлена экспертами 9 мая. Как утверждают исследователи, в новую версию CryptXXX внесены существенные изменения. Вредоносная программа теперь осуществляет блокировку экрана и выводит инфицированный компьютер из строя.
Эксперты предполагают, что новый функционал программного обеспечения производит блокировку экрана путем демонстрации страницы, содержащей требование выкупа. Это может являться свидетельством того, что программа регулярно подключает компьютер к C&C-серверу, чтобы проверять факт оплаты выкупа. Подобный функционал присутствует во вредоносном программном обеспечении Reveton, разработчики которого также создали CryptXXX.
Сначала исследователи решили, что функционал блокировки экрана – это попытка киберпреступников затруднить применение инструмента, который разработан «Лабораторией Касперского». Но после более подробного анализа выяснилось, что RannohDecryptor абсолютно бесполезен против CryptXXX 2.006.
Раньше файл, уведомляющий о заражении, назывался de_crypt_readme и имел расширение bmp, html и txt. В новой версии этот файл подписан уникальным персональным идентификатором инфицированного компьютера. Страница оплаты выкупа была также незначительно изменена. В настоящее время злоумышленники предлагают Google Decrypter вместо программного обеспечения для восстановления данных, которые были зашифрованы Cryptowall.