На цифровом горизонте замаячил новый вирус-вымогатель, получивший название Djvu. Вредонос появился в декабре 2018 года, и он, как считают эксперты, может быть новым вариантом другого зловреда, терроризировашего пользователей ранее — STOP. Djvu попадает на компьютер через программы для взлома софта (crack или «кряки») и рекламные баннеры (adware) и шифрует файлы.
Специалисты BleepingComputer, взявшиеся за анализ вредоноса, не сразу выяснили, как именно он распространялся. Только обсудив возникшую ситуацию с многочисленными жертвами, которые сообщали об этом на форумах ресурса и других тематических местах, эксперты обнаружили источник — «кряки».
При помощи сайта ID Ransomware, который помогает идентифицировать шифровальщика или вымогательскую программу, удалось определить, что вредоносная кампания проходит весьма успешно: число зараженных устройств растёт с каждым днём. И это ещё не самые плохие новости. Как отметили исследователи, на данный момент нет способа расшифровать файлы пользователей бесплатно, но они продолжают изучать Djvu, чтобы решить эту проблему.
Следите за развитием событий в нашем Телеграм-канале
Как работает Djvu
Как упоминалось выше, вымогатель содержится в определённых «кряках» и adware. Когда жертва установит их на компьютер, основной компонент Djvu загрузит четыре файла. Первый удалит некоторые настройки «Защитника Windows», а также отключит ряд функций, в том числе и мониторинг в реальном времени. После этого вымогатель запустит второй файл, который добавит множество сайтов (BleepingComputer оказался в их числе), специализирующихся на кибербезопасности, в файл Windows HOSTS. Это делается для того, чтобы жертвы не смогли обратиться к ним за помощью.
Третий файл отвечает непосредственно за шифрование файлов жертвы. В ходе этого процесса вымогатель сгенерирует уникальный идентификатор для устройства. Одновременно с этим Djvu запустит последний, четвёртый, файл под названием updatewin.exe, чья основная задача — отвлекать пользователя при помощи фальшивого окна Центра обновления Windows. В конечном итоге практически все файлы на компьютере, включая исполняемые, будут зашифрованы. Что насчёт файлов, которые появятся после установки вымогателя, то на этот случай у Djvu имеется Time Trigger Task. Он вновь начнёт запускать вредоноса через различные промежутки времени.
Требование о выкупе вымогатели оставляют в каждой зашифрованной папке в виде текстового файла с говорящим названием _openme.txt («открой меня»). В сообщении объясняется, что произошло с файлами пользователя и как их можно вернуть. Злоумышленники в качестве подтверждения также предлагают юзеру отправить им один из файлов (он не должен содержать какой-либо ценной информации), который будет расшифрован бесплатно. Более того, для тех, кто заплатит киберпреступникам выкуп в течение 72 часов, действует 50% скидка. А вот если жертва решит обратиться к сторонним инструментам, то все зашифрованные файлы будут уничтожены.
