Шифровальщик SyncCrypt прячет свои компоненты в изображениях

Недавно обнаруженный вымогатель скрывает свои компоненты внутри легитимных изображений. Таким образом вредоносу удается избежать обнаружения антивирусом.

SyncCrypt – вымогатель, распространяющийся через спам-письма, в которых содержатся вложения в виде WSF-файлов, которые маскируются под приказ суда. При запуске этих вложений встроенный JScript извлекает, казалось бы, безобидные изображения, которые однако содержат вредоносные компоненты.

Компоненты вымогателя хранятся в виде ZIP-файлов, JScript извлекает их в виде sync.exe, readme.html и readme.png, сообщает Лоуренс Абрамс из BleepingComputer.

Файл WSF также создает запланированное задание Windows под названием Sync. Как только файл sync.exe выполняется, он начинает сканирование компьютера жертвы на наличие определенных типов файлов и шифрует их с помощью AES-шифрования. Вредоносная программа шифрует AES-ключ встроенным ключом шифрования RSA-4096.

SyncCrypt шифрует более чем 350 типов файлов и добавляет к ним расширение .kk. Вредонос игнорирует файлы в следующих папках: \windows\, \program files (x86)\, \program files\, \programdata\, \winnt\, \system volume information\, \desktop\readme\ и \$recycle.bin\.

Злоумышленники требуют 430 долларов за расшифровку файлов, также требуют выслать им файл ключа. Хакеры пользуются следующими адресами электронной почты: getmyfiles@keemail.me, getmyfiles@scryptmail.com и getmyfiles@mail2tor.com.

Способ распространения этого вымогателя оказался очень эффективным, так как позволяет избегать обнаружения антивирусными программами. Согласно Абрамсу, только один из 58 антивирусных вендоров на VirusTotal смог обнаружить вредоносные изображения во время анализа. Однако файл Sync.exe детектируется уже 28 продуктами.