Вирус-вымогатель под названием Syrk шифрует файлы на жестком диске игроков, удаляя целые папки, если не будет оплачен выкуп в криптовалюте.
В основе новой вредоносной программы лежит программа Hidden-Cry с открытым исходным кодом, шифратор, появившийся в сети в декабре прошлого года и послуживший основой для множества вредоносных программ за последний год.
Пользователи Fortnite, где проживает около 250 миллионов игроков, являются основной целью для такого рода вредоносных программ. Крис Моралес, глава отдела аналитики безопасности в Vectra, заявляет:
Объединение игрового вредоносного ПО с вымогательским ПО было неизбежным. Социальная инженерия через онлайн-видеоигры продолжается уже некоторое время. Это целевая аудитория и отрасль, которая, как известно, становится целью.
Вредоносные программы, выдаваемые за хакерские инструменты, являются новыми, так как они не будут проверены ни одним магазином приложений и обходят обычные меры безопасности. Это делает шифрование файлов с под видом взлома игр очень гибким и простым в исполнении.
Syrk нацелен на пользователей Fortnite, маскируясь под чит-коды в игре. Вредоносная программа Syrk отображается как «SydneyFortniteHacks.exe», и после запуска приложение начинает шифрование файлов на жестком диске пользователя и USB-накопителях. Если не оплачивается выкуп в криптовалюте, приложение начинает удалять одну важную папку за другой, кульминацией работы вируса становится ваша папка «Документы».
«Следующим шагом будет установка временной процедуры, чтобы попытаться удалить зашифрованные файлы в каталогах, перечисленных ниже, удаляя файлы каждые два часа в следующем порядке:% userprofile% \ Pictures; % USERPROFILE% \ Desktop; и% userprofile% \ Documents», — пишут исследователи.
К счастью, вредоносное ПО основано на известном векторе атаки, и программное обеспечение легко обойти. Жертвы могут легко разблокировать свои компьютеры, просмотрев несколько текстовых файлов на своих дисках. Пользователь под ником Fafner [_KeyZee_] указывает в твиттере следующие акдреса папок с паролями для отключения вируса:
password for decryption is located at:
C:\\Users\\Default\\AppData\\Local\\Microsoft\\-pw+.txt
'passwordonly'
C:\\Users\\Default\\AppData\\Local\\Microsoft\\+dp-.txt
'pass : password'
Эти файлы содержат пароли, используемые для выключения вымогателей до того, как они смогут удалить ваши файлы, и это хорошая функция, которая должна помешать многим избавляться заражения компьютера.
Источник: AltStake