Эксперты обнаружили новый вайпер (wiper, от английского to wipe — «стирать», «вытирать») Azov Ransomware, который активно распространяется через пиратское ПО, кейгены и бандлы с adware. Этот вредонос пытается подставить известных ИБ-исследователей, утверждая, что они его создали и стоят за атаками. Судя по всему, вредонос назван в честь полка «Азов», который запрещен в России и признан террористической организацией.
О появлении Azov Ransomware рассказал основатель издания Bleeping Computer и ИБ-исследователь Лоуренс Абрамс (Lawrence Abrams). Он пишет, что в записке с требованием выкупа (RESTORE_FILES.txt) злоумышленники утверждают, будто вредонос создан ИБ-экспертом, известным под псевдонимом Hasherazade. Для восстановления файлов жертвам и вовсе предлагают связаться с другими известными специалистами через Twitter: Лоуренсом Абрамсом, изданием Bleeping Computer, Hasherazade, MalwareHunterTeam, Майклом Гиллеспи или Виталием Кремезом.
Также в своем послании злоумышленники сообщают, что Azov создан в знак протеста против присоединения Крыма к России, а также потому что западные страны недостаточно поддерживают Украину в связи с российской специальной военной операцией. При этом Bleeping Computer известно как минимум об одной украинской организации, атакованной этом вредоносом.
Увы, никаких реальных способов связи с операторами шифровальщика в записке не приводится. Абрамс резюмирует, что из-за отсутствия возможности связаться со злоумышленниками для оплаты выкупа, это вредоносное ПО следует рассматривать как умышленно деструктивный вайпер, а не как программу-вымогатель.
Так как жертвы уже начали обращаться к Bleeping Computer за помощью в восстановлении файлов, Абрамс подчеркивает, что пока ему и другим экспертам, к сожалению, неизвестен способ восстановления данных, и они ничем не могут помочь.
По информации издания, Azov начал распространяться в сети около двух недель назад, и похоже, что первые установки хакеры получили через ботнет SmokeLoader, попросту заплатив за распространение вайпера операторам ботнета.
Напомню, что SmokeLoader — это ботнет, который другие злоумышленники могут арендовать или купить у его операторов «установки» для распространения собственного вредоносного ПО на зараженных устройствах. SmokeLoader обычно распространяется через сайты с фейковыми кряками, кейгенами, модами или читами для игры.
Bleeping Computer пишет, что в последние недели SmokeLoader распространяет Azov Ransomware наряду с другими вредоносными программами, включая RedLine Stealer и вымогателем STOP. Причем изданию известно о случаях двойного шифрования файлов пользователей: сначала с помощью Azov, а затем с помощью STOP, поскольку SmokeLoader доставлял их в системы жертв одновременно.
После проникновения в систему вымогатель будет помещен во временную папку Windows (%Temp%) как случайный файл и запущен. После запуска вайпер скопирует файл C:\Windows\System32\msiexec.exe в C:\ProgramData\rdpclient.exe и исправит его, чтобы он также содержал Azov Ransomware. Кроме того, вредонос может быть настроен на запуск при каждом запуске Windows (через внесение изменений в реестр).
После этого вайпер просканирует все диски и зашифрует любой файл, за исключением расширений .ini , .dll и .exe. При шифровании к именам файлов добавляется расширение .azov, и во всех папках появится файл RESTORE_FILES.txt, содержащий послание хакеров.
Нужно сказать, что это далеко не первый случай, когда злоумышленники пытаются создать проблемы ИБ-экспертам, приписывая им авторство какой-либо малвари или возлагая на них ответственность за кибератаки. Например, в 2016 году операторы вымогателя Apocalypse переименовали своего вредоноса в Fabiansomware, «в честь» исследователя Фабиана Восара, который мешал хакерам «работать». В другом случае, в 2020 году, создатели шифровальщика MBRLocker использовали в вымогательских записках имя ИБ-эксперта Виталия Кремеза.
Комментарии
Зловред без кода - несчитово
сразу вспомнился анекдот про молдавский вирус.
---
Здравствуйте, я - молдавский вирус. В виду бедности моего
создателя и общей отсталости развития высоких технологий
нашей страны, я не в силах причинить какой-либо вред вашему
компьютеру. Пожалуйста, сотрите сами несколько самых нужных
вам файлов, а затем разошлите меня по почте своим друзьям.
Благодарю за понимание и сотрудничество.
"Мелко, Хоботов!" (с) "Покровские Ворота"
Это было бы реально круто, если после подобного идейного оформления, этот Азiв ( жаль что дегенератам удалось очередное руское слово испоганить смысловым дерьмонаполнением), снёс как можно больше инфы у "западных" пользователей.
Свинопротест бы был засчитан.
Так теперь в Киеве ни черта не напрогромируешь , обзвоны накрылись , этих воров и мародеров виртуальности нужно мотать скотчем к раскаленному серверу нехай коптятся а не Аз!вом прикрываются.
на выходных смотрел наших блогеров,из куявы единицы в чат рулетку выходят(или врут что из куиева) ,видимо нормально им гераней насыпали!
Не смотря на то что в тексте от вируса четко упоминается Польша и "польский эксперт" - в тексте статьи об этом деликатно умалчивается. Хотя связь нужно делать именно такую: вирус - польша - азов - террористы
Хм, да, занятно ,был опыт выковыривания подобной хрени из системы. Принесли ноут, там explorer.exe ,подменен был, но тот без шифрования , не помню чего он там вообще хотел,но штука неприятная .
я подобную тему с флешки ловил,благо не рабочий ноут был,систему переустановил и усё!Но этому шантажисту на мыло послание накатал,на богатом русском мате
--Доктор, где вы эти
картинкивирусы-то берёте?ЗЫ
Лет 15 сижу под Линуксом. Последние лет десять -- в основном в Debian. Но я не про Линукс и Виндовс!
Я про то, что обнаружил, что последние полгода я всё больше и больше времени провожу в разработках софта (и электроники) под AstraLinux, а не в Debian.
Это произошёл перелом (на отечественный софт) или это временное явление?
Хм. Интересно. Надо понаблюдать.
14 лет. та же фигня.
Без лога и простейшей идентификации с вирустотал(скриншота с вирустотал) - не считается.
Только идиот запустит кейген или другой эксзешник не закинув на вирустотал. Открывать чужие флешки смартфоны HDD без актуального антивируса или без отключения авто запуска - так себе безопасность.
Реагируют ли офлайн антивирусы реального времени на компьютере(под винду) на вирус?
ИМХО представляют проблему дыры винды и дыры каких браузеров. к примеру.
По всем важным данным надо иметь бэкап.
У знакомого, для кейгенов была заготовлена виртуалка. После генерации ключа, она удалялась, а из бэкапа подымалась новая.
Правда теперь всё стало сложнее - теперь отламывают сам софт и далеко не всегда удачно.
Я на Линуксе - мне пофиг :)
P.S. Российский, причем - Rosa Fresh 12.3
А этот вирус под вайном запускается?
Всё данные бэкапятся каждый день, так что не смертельно, только муторно восстанавливать.
Недавно пришлось восстанавливать почти 2 ТБ, правда не по причине вируса.