Новости В дикой природе обнаружена новая версия вымогательского ПО Agenda

[NewsMaker]

Следуя последним трендам, разработчики переписали свое детище на Rust.​

---

---

Вымогательское ПО Agenda связано с пользователем под ником Qilin и распространяется по схеме Для просмотра ссылки Войди или Зарегистрируйся (вымогательское ПО как услуга). Изначально вредонос был написан на Golang и Для просмотра ссылки Войди или Зарегистрируйся в целом ряде атак, направленных на критически важную инфраструктуру, предприятия и IT-компании в разных странах.

Как говорят специалисты из Trend Micro, Rust-версия Agenda предлагает Для просмотра ссылки Войди или Зарегистрируйся в качестве дополнительного и настраиваемого параметра. 3 возможных режима частичного шифрования:

• skip-step [skip: N, step: Y] – Шифровать каждые Y Мб файла, пропуская N Мб;
  
• fast [f:N] – Зашифровать первые N Мб файла;
  
• percent [n: N; p] – шифровать каждые N Мб файла, пропуская P Мб, где P равно P% от общего размера файла.
  

Анализ двоичного файла программы-вымогателя показал, что зашифрованные файлы получают расширение "MmXReVIxLV", после чего в каждый каталог помещается записка о выкупе.

Кроме того, Rust-версия Agenda умеет завершать процесс AppInfo и отключать User Account Control (UAC), который помогает в смягчении воздействия вредоносного ПО, требуя права администратора для запуска программы.