Вымогательская программа SyncCrypt успешно обходит антивирусное ПО

Новая разновидность вымогательской программы SyncCrypt распространятся посредством спам-рассылки. К письму прикреплен WSF-файл, замаскированный под судебную повестку.

После запуска вложенного файла, встроенный JScript отправляет запрос на внешний сайт и запускает процесс загрузки нескольких изображений на целевую систему. Составные части вредоносной программы спрятаны внутри графических файлов, содержащихся в ZIP-архивах. JScript извлекает из архива файлы andreadme.png, readme.html и sync.exe.

Как сообщает сайт BleepingComputer, в случае, если пользователь попытается сделать напрямую открыть один из URL-адресов графических файлов, то на экране появится лишь обложка альбома «And They Have Escaped the Weight of Darkness» певца из Исландии Олафура Арнальдса.

Кроме того, WSF-файл генерирует системную задачу Windows (Sync), которая сканирует инфицированную систему на наличие файлов конкретного формата и осуществляет их шифрование посредством алгоритма AES.

SyncCrypt задействует встроенный ключ RSA-4096 для того, чтобы затем зашифровать ключ AES.

Вымогательская программа шифрует свыше 350 типов файлов, добавляя к ним расширение .kk. При этом программа не шифрует файлы, расположенные в системных папках типа Windows и Program Files.

За восстановление файлов SyncCrypt требует 429 долларов. После выплаты выкупа пользователь должен отправить электронное письмо с файлом ключа на один из адресов (getmyfiles@keemail.me, getmyfiles@scryptmail.com, getmyfiles@Mail2tor.com) для того, чтобы получить дешифратор.

Согласно данным VirusTotal, только одна антивирусная программа из 58 фиксирует данную программу.

Пока что не обнаружен способ бесплатной расшифровки файлов, затронутых SyncCrypt.