SyncCrypt использует стеганографию для обхода обнаружения антивирусами

Новый вид вымогательского ПО, известный как SyncCrypt скрывает свои компоненты в файлах, выглядящих как безобидные изображения.

Обнаруженный недавно новый вид вымогательского ПО SyncCrypt, распространятся по почте в виде спама. К нему прилагается вложеный файл в формате WSF, выглядящий как судебная повестка.

Послезапуска вложенного файла, встроенный JScript обращается к внешнему сайту изагружает на систему жертвынесколько изображений. Компоненты вредоносного ПО скрыты внутри изображений в виде ZIP-архивов. JScript извлекает из архива следующие файлы: sync.exe, readme.html, и andreadme.png.

«Если пользователь просто откроет один из этих URL-адресов изображений напрямую, он увидит просто обложку альбома “& They Have Escaped the Weight of Darkness” исландского певца Олафура Арнальдса», – говорится в анализе Bleepingcomputer.

Файл WSF также создает системную задачу Windows под названием Sync, которая начинает сканирование зараженной системы на предмет файлов определенного типа и шифрует их с помощью алгоритма AES.

SyncCrypt использует встроенный публичный ключ RSA-4096 для последующего шифрования ключа AES.

Программа-вымогатель нацелена на более чем 350 типов файлов и после шифрования добавляет к ним расширение .kk. Исследователь также отметил, что программа пропускает файлы, расположенные в определённых папках, в том числе:

windows
program files (x86)
program files
programdata
winnt
system volume information
desktopreadme
$recycle.bin

Программа требует выкуп в размере $429 за дешифрование файлов. После осуществления оплаты, для получения дешифратора жертва должна отправить электронное письмо с файлом ключа на один из следующих адресов: getmyfiles@keemail.me, getmyfiles@scryptmail.com или getmyfiles@Mail2tor.com.

По данным VirusTotal, лишь один из 58 антивирусов смог выявить угрозу.

К сожалению, на данный момент нет способа бесплатно дешифровать файлы, зашифрованные SyncCrypt.