Лаборатория Касперского обнаружила модуль шифровальщика в Shamoon 2.0

Недавно использовавшаяся в атаках вредоносная программа Shamoon 2.0 имеет полностью функциональный модуль, способный шифровать файлы на зараженном устройстве. Об этом сообщает Лаборатория Касперского.

Эксперты Лаборатории Касперского опубликовали отчет с подробным описанием Shamoon 2.0 и нового вредоноса «StoneDrill».

Наиболее интересным фактом является то, что Shamoon 2.0, в дополнение к тому, что уничтожает данные, обладает функционалом шифровальщика. По словам исследователей Лаборатории Касперского, этот модуль находится в неактивном состоянии, однако есть опасение, что в будущем он будет задействован.

После заражения компьютера Shamoon проверяет системное время, чтобы определить, когда следует установить основную вредоносную нагрузку, которая позволяет злоумышленникам либо стереть, либо зашифровать файлы и разделы в системе.

«В режиме шифрования генерируется слабый псевдослучайный RC4-ключ, который далее шифруется открытым ключом RSA и сохраняется непосредственно на жестком диске (в <\Device\Harddisk0\Partition0>)» - говорится в сообщении Лаборатории Касперского.

Вредонос шифрует файлы, хранящиеся в папках Desktop (Рабочий стол), Downloads (Загрузки), Documents (Документы), Pictures (Изображения).