Новый вирус распространяется через графические файлы
Троянец SyncCrypt использует многоступенчатую процедуру заражения. Основные вредоносные компоненты хранятся в заархивированном виде внутри файлов с раширением PNG. Большинство антивирусов не могут его выявить.
Шифровальщик SyncCrypt рассылается вместе со спамом, в письмах с вложениями в формате WSF, которые выдаются за судебные предписания. Если открыть файл, то встроенный в него JavaScript скачивает с нескольких разных адресов графические файлы, из которых извлекается вредоносная начинка, пишет CNews со ссылкой на зарубежные источники.
Компоненты троянца представляют собой три файла — sync.exe, readme.html и readme.png.
WSF-файл создает в Windows отложенную задачу Sync, которая, соответственно, запускает файл sync.exe. Тот начинает сканировать компьютер на предмет файлов с определенным расширением и шифровать их. Атаке подвержены более чем 350 типов файлов, среди них doc, gif, html, jpeg, pdf и многие другие.
Большинство антивирусов не могут выявить троян SyncCrypt. Злоумышленники требуют за ключ для расшифровки файлов 430 долларов в биткоинах. Перевести средства нужно в течение 48 часов, иначе ключ уничтожается.
Статистика VirusTotal показывает, что из 58 антивирусных программ только российский DrWeb считает эти графические файлы подозрительными.
Изображение: lori.ru
