Новый вайпер использует коммунистическую символику
Исследователи MalwareHunterTeam обнаружили новый зловред под названием StalinLocker, который перекрывает экран портретом Сталина и лозунгами советской эпохи. На разблокировку у жертвы есть 10 минут. Если за это время пользователь не успеет ввести код, вайпер стирает все данные на компьютере.
Ключ можно вычислить, вычтя из текущей даты число 1922.12.30, что, вероятно, является отсылкой к 30 декабря 1922 года — дню подписания договора об образовании СССР. На время ожидания включается таймер обратного отсчета и начинает воспроизводиться советский гимн.
При заражении устройства вредоносная программа добавляет себя в автозагрузку системы и создает в папке %UserProfile%\AppData\Local\ файл fl.dat, в котором прописывает количество оставшихся секунд, разделенное на три. Таким образом, при каждом перезапуске компьютера на введение кода будет оставаться все меньше времени.
StalinLocker завершает работу Explorer.exe и taskmgr.exe, а также всех прочих процессов, кроме Skype или Discord. Помимо этого, зловред пытается запланировать обновление драйверов, вместе с которым должен происходить запуск Stalin.exe, однако эта часть кода в настоящее время выдает ошибки.
Вайпер распространяется при помощи фишинговой рассылки: электронные письма маскируются под официальные уведомления, а StalinLocker содержится во вложении или загружается при переходе по ссылке. Еще одним вариантом заражения могут стать вредоносные плагины, перенаправляющие жертву на страницу злоумышленников.
Создатели StalinLocker пока не требуют денег в качестве выкупа. Специалисты не выявили большого количества атак и полагают, что программа находится в стадии тестирования. Чтобы обезопасить свой компьютер, необходимо регулярно обновлять антивирус, который легко ликвидирует угрозу.
Чаще всего блокировщики экрана являются одновременно вымогателями, однако бывают и исключения. Так, nRansom, который в качестве выкупа требовал не деньги, а фотографии жертвы в обнаженном виде, был скорее развлечением для преступников, чем способом незаконного обогащения. Банковский троян TrickBot блокирует экран, чтобы пользователь повторно вошел в аккаунт и зловред смог украсть пароль.