Павел Иевлев

Текст

Новая программа-вымогатель Wagner вербует пользователей в ЧВК

Новый вариант программы-локера, получивший название Wagner, был обнаружен исследователями из компании Cyble, специализирующейся на кибербезопасности. Вместо типичного требования выкупа жертвы обнаруживают сообщение, в котором им предлагается вступить в частную военную компанию (ЧВК) «Вагнер».

В отличие от обычных стратегий борьбы с вымогательством, Wagner не требует денежной оплаты за расшифровку файлов. Вместо этого он заставляет жертв вступить в ряды ЧВК. «Официальный вирус для трудоустройства в ЧВК Вагнера», – говорится в записке о выкупе, написанной на русском языке и обнаруженной на зараженных устройствах. В записке также содержатся призывы к незаконным действиям.

«Группа Вагнера официально не заявляла о своей причастности к этому ransomware, поэтому ответственными за этот конкретный штамм может быть кто угодно», – пишут исследователи Cyble в своем отчете.

При более тщательном анализе исследователи обнаружили, что Wagner является производной от программы Chaos ransomware, которая сама является ответвлением печально известной программы Ryuk ransomware.

При активации Wagner инициализирует переменные, определяющие его выполнение, и сканирует процессы с одинаковыми именами, предотвращая одновременный запуск нескольких экземпляров криптора. Затем он устанавливает системные учетные данные и регистрируется в процессе запуска Windows. После этого начинается процесс шифрования, затрагивающий в первую очередь пользовательские папки на системном диске.

Всего вредоносная программа способна распознать и зашифровать около 230 расширений файлов. После шифрования все файлы получают расширение «.Wagner».

Интересно, что Wagner не шифрует данные на вторичных дисках, установленных на компьютере. Однако он распространяет surprise.exe, копию основной программы, на все диски, включая съемные носители.

Без подтвержденной ссылки на реальный ЧВК Wagner и в отсутствие платежных реквизитов для получения выкупа, жертвы не имеют возможности восстановить свои файлы. В результате исследователи Cyble классифицируют Wagner как Viper ransomware.

Эксперты настоятельно советуют регулярно создавать резервные копии критически важных данных и рекомендуют хранить их на отдельных устройствах или в защищенных облачных хранилищах, чтобы уменьшить потенциальный ущерб от подобных атак.

Что такое вирусы-шифровальщики:

Читать на ЦО.РФ
  • 08.07.2022

Шифровальщик – вирус для вымогателей Как сберечь деньги и не потерять данные

Ransomware, или трояны-вымогатели, — это разновидность зловредных программ, которая за последнее время стала одной из наиболее распространенных и опасных. Что это такое и как защититься?