Вредонос не только шифрует файлы на компьютере жертв, но и похищает персональные данные.
С целью заставить жертву заплатить выкуп операторы вымогательского ПО идут на самые разные ухищрения (к примеру, стоящие за CyptMix киберпреступники уверяют, будто передадут полученные средства благотворительным организациям). Создатели вредоноса MIRCOP используют весьма необычную технику – они выдают себя за жертв мошенничества и требуют вернуть им украденное.
Как сообщают эксперты Trend Micro, MIRCOP распространяется через спам-письма с вредоносным вложением, подделанным под накладную таможенной службы Таиланда. Документ запрашивает у пользователя активировать макросы, якобы для того чтобы подписать его, но на самом деле через Windows PowerShell загружает и выполняет вредоносную полезную нагрузку.
MIRCOP загружает в папку %Temp% три файла: c.exe (похищает информацию), x.exe и y.exe (шифруют файлы на компьютере жертвы). В отличие от другого вымогательского ПО, вредонос шифрует файлы, не изменяя расширение, а добавляя в начало строку «Lock». Помимо шифрования, MIRCOP также способен похищать учетные данные для авторизации в различных приложениях, например, в Mozilla Firefox, Google Chrome, Opera, FileZilla и Skype.
За восстановление файлов злоумышленники требуют 48,48 биткойна (около $30 тыс.). В уведомлении с требованием выкупа вымогатели обвиняют жертву в похищении указанной суммы и требуют ее вернуть.
«Привет, вы украли 48,48 биткойна не у тех людей. Пожалуйста, будьте так добры и верните их, тогда мы вернем вам ваши файлы. Не пытайтесь надуть нас, мы знаем о вас больше, чем вы сами знаете о себе. Верните нам деньги, и мы не будем ничего предпринимать. Если не заплатите, то будьте готовы», - говорится в уведомлении.
Помимо вышеупомянутого требования и биткойн-кошелька в записке больше ничего не сообщается. Никаких live-чатов с вымогателями и подробных инструкций для неосведомленных пользователей, где можно приобрести биткойны не предусмотрено. Похоже, избранная злоумышленниками тактика не оправдала себя, поскольку, по данным Trend Micro, до настоящего времени на указанный биткойн-адрес не поступало никаких платежей.
Источник:
https://www.securitylab.ru/news/482978.php