Авторы программ-вымогателей могли навредить себе, обрабатывая платежи через WeChat. Местные правоохранительные органы могут отслеживать выплаты выкупа.
Более 100 000 китайских пользователей заразили свои ПК с ОС Windows новым штаммом программы-вымогателя, которая шифрует их файлы и требует выкуп в размере 110 юаней (около 16 долларов США).
Программа-вымогатель нацелена исключительно на китайское интернет-пространство, и угрозы для международных пользователей, по крайней мере, пока нет.
Это связано с тем, что человек/группа, стоящая за этой угрозой, используют исключительно приложения на китайскую тематику для распространения программ-вымогателей через местные сайты и форумы. Кроме того, они также требуют выплаты выкупа через платежный сервис WeChat, доступный только в Китае и прилегающих регионах.
Согласно многочисленным сообщениям местных новостей [1, 2, 3, 4], пользователи сообщали о заражении этим вымогателем после установки приложений на тему социальных сетей, но в основном после установка приложения под названием «Account Operation V3.1», приложения, помогающего пользователям управлять несколькими учетными записями QQ одновременно. время. Последующий
отчет утверждал, что автор программы-вымогателя мог скомпрометировать SDK под названием EasyLanguage, используемый всеми заявленные приложения, которые внедряли вредоносный код программы-вымогателя в компьютеры других разработчиков. Программы.Безопасность
- 8 привычек высокозащищенных удаленных работников
- Как найти и удалить шпионское ПО с телефона
- Лучшие VPN-сервисы: как сравнить пятерку лучших?
- Как узнать, причастны ли вы к утечке данных, и что делать дальше
Эксперты по безопасности, проанализировавшие заражения, заявили, что помимо шифрования файлов программа-вымогатель также включала в себя программу для кражи информации. компонент, который собирал учетные данные для входа в несколько китайских онлайн-сервисов, таких как Alipay (цифровой кошелек), Baidu Cloud (личный облачный файловый хостинг), NetEase 163 (служба электронной почты), Tencent QQ (обмен мгновенными сообщениями), а также Taobao, Tmall и Jingdong (интернет-магазины). платформы).
Официальные жалобы были поданы в местные правоохранительные органы, но на данный момент неясно, определили ли власти хакера или хакерскую группу, стоящую за этой внезапной вспышкой программы-вымогателя.
Если авторы программ-вымогателей не использовали поддельные или полученные обманным путем идентификаторы для создания своих профилей обработки платежей в WeChat, большинство жертв заявили, что ожидали, что полиция выследит преступников. Широко известно, что китайские власти имеют возможность отслеживать платежи WeChat и выявлять людей, стоящих за подозрительными операциями.
Эта последняя кампания по вымогательству также является не первым случаем, когда китайские авторы программ-вымогателей используют WeChat в качестве метода обработки платежей за выкуп. Те, кто совершил эту фатальную ошибку в прошлом были арестованы властями в течение нескольких месяцев, как, например, в случае с дуэтом, арестованным в июле прошлого года.
В целом китайская полиция имеет хороший опыт арестов хакеров в течение нескольких недель или месяцев после того, как конкретная кампания по распространению вредоносного ПО попала в заголовки газет. Например, они ранее занял всего месяц выследить и арестовать людей, стоящих за рекламное ПО Fireball, четыре дня на поиски хакер вымогает деньги у местных туристических агентстви менее месяца на выявление хакера, который продажа данных миллионов гостей отелей в даркнете.
Что касается жертв недавней кампании по вымогательству, местные китайские фирмы по кибербезопасности заявляют, что программа-вымогатель может быть расшифровывается без уплаты выкупа, поскольку программа-вымогатель поставляется с ключом шифрования/дешифрования, жестко запрограммированным в ее источнике код. Некоторые компании начали работу над бесплатными расшифровщиками, которые планируют сделать бесплатными в ближайшие дни.
Хотя в большинстве западных стран кампании по распространению программ-вымогателей в основном сошли на нет, в Китае они по-прежнему являются обычным явлением. Отчет Китайская фирма по кибербезопасности Velvet Threat Intelligence (火绒威胁情报系统) утверждает, что за первые девять месяцев года штаммы программ-вымогателей зашифровали более двух миллионов компьютеров в Китае.
Статья обновлена 5 декабря и содержит обновленную статистику заражения.
ОБНОВЛЕНИЕ от 9 декабря: Как и ожидалось, китайские власти поймал Человек, стоящий за этой программой-вымогателем, — 22-летний парень из провинции Дунгуань.
Киберпреступность и вредоносное ПО, прогнозы на 2019 год
Сопутствующее покрытие программ-вымогателей:
- Вымогатель SamSam, созданный иранскими хакерами, заявило Министерство юстиции США
- Город Вальдез на Аляске признался, что заплатил за заражение вирусом-вымогателем
- Программы-вымогатели: не умерли, просто стали намного хитрее
- Кризис вируса-вымогателя WannaCry, год спустя
- Команда вымогателей GandCrab потеряла 1 миллион долларов после того, как Bitdefender выпустил бесплатный дешифратор
- Новая московская канатная дорога заражена программой-вымогателем через два дня после запуска