Поделиться
Опасный блокировщик ПК маскируется под софт известного борца с хакерским ПО
Вредоносная программа перезаписывает загрузочный сектор жесткого диска, делая это от имени известных экспертов по информационной безопасности. Сами эксперты, мягко говоря, удивлены.
Блокировщик-самозванец
Неизвестные злоумышленники распространяют блокирующий систему вредонос от имени широко известных экспертов по информационной безопасности — Виталия Кремеца (Vitali Kremez) и группы MalwareHunterTeam.
Вредоносная программа, о которой идет речь, перезаписывает главный загрузочный сектор жесткого диска, блокируя возможность загрузить операционную систему. Жертве также выводится хамское сообщение на английском языке в двух вариантах. Оба приписывают заражение Кремецу, с предложением связаться с ним через Twitter, или с его «мужем» MalwareHunterTeam. Сообщения написаны на ломаном английском, некоторые обороты (например, «write me in twitter») дают повод предположить, что автор из Восточной Европы. Ко второму варианту сообщения прилагаются не только аккаунт Кремеца в твиттере, но и телефон и два почтовых адреса.
И в обоих случаях предлагается приобрести антивирус SentinelOne — продукт компании, к которой Кремец не имеет отношения.
Судя по публикации Кремеца, вредонос-самозванец имеет очень низкое качество кода. Но это пока не мешает ему представлять существенную угрозу.
Это шутит кто-то
И Кремецу, и MalwareHunterTeam пришлось объяснять в Twitter, что они никакого отношения к этим инцидентам не имели. Кремец получил десятки сообщений от пострадавших — тех, кто не знал, кто он такой.
Издание Bleeping Computer утверждает, что через Youtube и Discord некоторое время назад рекламировался инструмент для создания блокировщиков загрузочного сектора, и вполне вероятно, что вредонос, порочащий Кремеца и MalwareHunterTeam, был создан с использованием того самого инструмента.
Если это так, то, скорее всего, вредоносная программа сделала резервную копию загрузочного сектора, прежде чем перезаписать его.
Кремец, по-видимому, смог получить и проанализировать сэмпл вредоноса и выпустил сигнатуры для Yara, позволяющие нейтрализовать вредонос. Восстановить систему можно при наличии ее резервных копий на внешнем носителе.
Один из возможных источников вредоноса, по данным Кремеца, является пиратское ПО.
«Все это выглядит, как мелочная месть со стороны каких-то не очень умелых киберпреступников, которым Кремец и MalwareHunterTeam помешали вести бизнес, — считает Алексей Водясов, эксперт по информационной безопасности компании SEC Consult Services. — В результате, впрочем, сами эксперты получили только лишнюю рекламу. Что касается возможности восстановления, то по имеющимся пока данным, восстановление резервной копии операционной системы с внешнего носителя — единственный способ вернуть доступ к компьютеру, хотя такие копии делают далеко не все».
Поделиться
Короткая ссылка
