Эксперты сообщают о появлении новой вымогательской программы, получившей название Surprise. После проникновения в систему вредоносная программа производит шифровку находящихся на компьютере файлов и добавляет к ним расширение .surprise.
Функционал Surprise не имеет каких-либо существенных отличий от других подобных программ. Но экспертов заинтересовал механизм распространения данного программного обеспечения. Для данной цели киберпреступники пользуются инструментом удаленного доступа к рабочему столу TeamViewer.
Первая информация о вымогательской программе была опубликована на форуме Bleeping Computer. Позже выяснилось, что на компьютерах всех пользователей, пострадавших от Surprise, была установлена версия TeamViewer 10.0.47484. Примечательно, что сумма запрашиваемого киберпреступниками выкупа зависит от того, насколько важными являются зашифрованные данные. Зачастую хакеры требуют заплатить от 0,5 до 25 биткоинов.
Эксперт компании PrivacyPC Дэвид Балабан, проведший анализ журналов трафика TeamViewer, утверждает, что хакеры запускали процесс surprise.exe на инфицированных компьютерах удаленно. По мнению Балабана, киберпреступники могли использовать учетную информацию, украденную путем взлома внутренних сетей TeamViewer, но в самой компании отрицают такую возможность.
Владелец сайта Bleeping Computer Лоуренс Абрамс рассказал, что Surprise является модифицированной версией EDA2 – вымогательской программы, созданной турецким исследователем Утку Сеном. На основе EDA2 ранее было создано несколько шифровальщиков. Кроме того, популярной среди хакеров является другая разработка Сена – вымогательская программа Hidden Tear.