Недавно использовавшаяся в атаках вредоносная программа Shamoon 2.0 имеет полностью функциональный модуль, способный шифровать файлы на зараженном устройстве. Об этом сообщает Лаборатория Касперского.
Эксперты Лаборатории Касперского опубликовали отчет с подробным описанием Shamoon 2.0 и нового вредоноса «StoneDrill».
Наиболее интересным фактом является то, что Shamoon 2.0, в дополнение к тому, что уничтожает данные, обладает функционалом шифровальщика. По словам исследователей Лаборатории Касперского, этот модуль находится в неактивном состоянии, однако есть опасение, что в будущем он будет задействован.
После заражения компьютера Shamoon проверяет системное время, чтобы определить, когда следует установить основную вредоносную нагрузку, которая позволяет злоумышленникам либо стереть, либо зашифровать файлы и разделы в системе.
«В режиме шифрования генерируется слабый псевдослучайный RC4-ключ, который далее шифруется открытым ключом RSA и сохраняется непосредственно на жестком диске (в <\Device\Harddisk0\Partition0>)» - говорится в Лаборатории Касперского.
Вредонос шифрует файлы, хранящиеся в папках Desktop (Рабочий стол), Downloads (Загрузки), Documents (Документы), Pictures (Изображения).
