Новости Неизвестный вирус-вымогатель ARCrypter распространяется по всему миру

[NewsMaker]

Об операторах ничего не известно, а вектор атаки продолжает быть загадкой.​

---

---

<p align="center" style="text-align: left;'] Ранее неизвестная программа-вымогатель ARCrypter, которая скомпрометировала ключевые организации в Латинской Америке, теперь расширяет свои атаки по всему миру.

<p style="background: white;'] Исследователи в своем новом отчете связали ARCrypter с Для просмотра ссылки Войди или Зарегистрируйся , которая привела к приостановке работы ведомства.

<p style="background: white;'] По словам Для просмотра ссылки Войди или Зарегистрируйся , ARCrypter в настоящее время расширяет свою деятельность за пределами Латинской Америки и нацелен на различные организации по всему миру, в том числе в Китае, Канаде, Германии, США и Франции.

<p style="background: white;'] Требования выкупа в каждом случае варьируются и достигают $5000. Эксперты объясняют это тем, ARCrypter является программой-вымогателем среднего уровня.

<p style="background: white;'] BlackBerry сообщает, что первые образцы ARCrypter появились в начале августа 2022 года, за несколько недель до атаки в Чили.

<p style="background: white;'] Вектор атаки остается неизвестным, но аналитики смогли найти 2 URL-адреса AnonFiles, которые используются в качестве удаленных серверов для получения архива «win.zip», содержащего исполняемый файл «win.exe».

<p align="center" style="background: white;']

---

---

<p align="center" style="background: white;'] Страница загрузки исполняемого файла «

win

.

exe

»

<p style="background: white;'] Исполняемый файл представляет собой файл-дроппер, содержащий ресурсы BIN и HTML. HTML содержит записку о выкупе, а BIN включает в себя зашифрованные данные, для которых требуется пароль.

<p style="background: white;'] Если пароль указан, BIN-файл создает на скомпрометированном устройстве случайный каталог для хранения полезной нагрузки второго этапа ARCrypter, которая создает собственный раздел реестра для сохранения постоянства в системе.

<p align="center" style="background: white;']

---

---

Полезная нагрузка в каталоге на устройстве.

Название нагрузки состоит из случайного набора букв и цифр.

<p style="background: white;'] Затем ARCrypter удаляет все теневые копии томов, чтобы предотвратить восстановление данных, изменяет сетевые настройки для обеспечения стабильного подключения, а затем шифрует файлы, кроме определенных типов.

<p align="center" style="background: white;']

---

---

<p align="center" style="background: white;'] Типы файлов, исключенные из шифрования

<p style="background: white;'] Файлы в папках «Загрузки» и «Windows» также пропускаются, чтобы не сделать систему полностью непригодной для использования.

<p style="background: white;'] Помимо расширения «.crypt», зашифрованные файлы отображают сообщение «ALL YOUR FILES HAS BEEN ENCRYPTED».

<p align="center" style="background: white;']

---

---

Зашифрованные файлы

<p style="background: white;'] Примечательно, что вымогатели утверждают, что они крадут данные во время своих атак, но у них нет сайта утечки для публикации украденных файлов.

<p style="background: white;'] В настоящее время операторах ARCrypter почти ничего не известно – их происхождение, язык и потенциальные связи с другими группировками.