Программа-вымогатель WANA CRY пытается украсть Thunder Wannacry

В ходе проверки новых образцов вредоносного ПО выяснилось, что WANA CRY — это разновидность программы-вымогателя, имитирующая другую известную программу-вымогатель под названием WannaCry. WANA CRY создан на основе программы-вымогателя Chaos и разработан с основной целью шифрования файлов. Кроме того, он меняет обои рабочего стола, генерирует записку о выкупе с именем «read_it.txt» и добавляет четыре случайных символа к именам файлов.

В качестве иллюстрации того, как WANA CRY изменяет имена файлов, он преобразует «1.jpg» в «1.jpg.4bkv», «2.png» в «2.png.t29o» и так далее.

В записке о выкупе сообщается жертве, что ее данные зашифрованы, и подчеркивается, что расшифровка без помощи злоумышленников невозможна. Чтобы восстановить доступ к зашифрованным данным, жертве предлагается приобрести специализированное программное обеспечение для дешифрования по цене 1500 долларов США. Платеж явно указан в биткойнах.

Кроме того, в записке о выкупе указаны детали платежа, включая сумму в биткойнах (0,1473766 BTC) и биткойн-адрес для оплаты.

Записка о выкупе WANA CRY соответствует сути

Полный текст краткой записки о выкупе, созданной WANA CRY, выглядит следующим образом:

WANA CRY @rivator_max

All of your files have been encrypted
Your computer was infected with a ransomware virus. Your files have been encrypted and you won't
be able to decrypt them without our help.What can I do to get my files back?You can buy our special
decryption software, this software will allow you to recover all of your data and remove the
ransomware from your computer.The price for the software is $1,500. Payment can be made in Bitcoin only.
How do I pay, where do I get Bitcoin?
Purchasing Bitcoin varies from country to country, you are best advised to do a quick google search
yourself to find out how to buy Bitcoin.
Many of our customers have reported these sites to be fast and reliable:
Coinmama - hxxps://www.coinmama.com Bitpanda - hxxps://www.bitpanda.com

Payment informationAmount: 0.1473766 BTC
Bitcoin Address: 17CqMQFeuB3NTzJ2X28tfRmWaPyPQgvoHV

Как программы-вымогатели могут проникнуть в вашу систему?

Программы-вымогатели могут проникнуть в систему различными способами, часто используя уязвимости и поведение человека. Вот распространенные способы проникновения программ-вымогателей в систему:

• Фишинговые электронные письма. Один из наиболее распространенных методов — фишинговые электронные письма. Киберпреступники отправляют электронные письма, содержащие вредоносные вложения или ссылки, при нажатии на которые загружается и запускается программа-вымогатель в системе жертвы. Эти электронные письма часто выдают себя за законные источники, что делает их заслуживающими доверия.
• Вредоносные веб-сайты и реклама. Посещение взломанных веб-сайтов или нажатие на вредоносную онлайн-рекламу может привести к загрузке и установке программы-вымогателя. Эти веб-сайты могут использовать уязвимости в браузере или использовать методы социальной инженерии, чтобы обманом заставить пользователей загрузить вредоносный контент.
• Использование уязвимостей программного обеспечения. Программы-вымогатели могут использовать уязвимости в программном обеспечении или операционных системах для получения несанкционированного доступа. Крайне важно поддерживать актуальность программного обеспечения и операционных систем с использованием последних обновлений безопасности, чтобы снизить риск взлома.
• Вредоносные ссылки в сообщениях или социальных сетях. Киберпреступники могут распространять программы-вымогатели через ссылки, которыми делятся в сообщениях или социальных сетях. Эти ссылки могут вести на вредоносные веб-сайты или инициировать загрузку вредоносных файлов при нажатии.
• Вредоносная реклама. Киберпреступники могут поставить под угрозу сети онлайн-рекламы и отображать вредоносную рекламу на законных веб-сайтах. Нажатие на эти объявления или посещение затронутых веб-сайтов может привести к загрузке программ-вымогателей.
• Атаки по протоколу удаленного рабочего стола (RDP). Злоумышленники могут использовать слабые или скомпрометированные соединения по протоколу удаленного рабочего стола, чтобы получить доступ к системе. Оказавшись внутри, они могут внедрить программу-вымогатель.