Атака новой программы-вымогателя RedEye разрушит ваш компьютер, если вы не заплатите выкуп
@webware
Недавно обнаруженная программа-вымогатель RedEye, распространяемая через Twitter, нацелена на пользователей, по отношению к которым применяются атаки шифрования данных и блокировки файла для запроса суммы выкупа в биткоинах.
Программа-вымогатель RedEye способна разрушить компьютер пользователя после предупреждения о выплате определенной суммы выкупа.
Этот новый вариант программы-вымогателя создан тем же автором, который использовал Annabelle ransomware, активно распространяемый раньше.
Название RedEye было придумано автором программы-вымогателя iCoreX”, и эта программа-вымогатель требует выкуп в биткоинах через кошелек Биткоин ID; и сделка должна быть выполнена через Onion Payment portal.
Программа-вымогатель RedEye угрожает пользователям через Twitter и просит проверить “scary & really nasty”.
Вектор атаки программы-вымогателя RedEye
Если RedEye взламывает пользователя, то он удаляет файл размером 30 МБ, который содержит несколько медиафайлов, в частности, изображения и аудиофайлы, встроенные в двоичный код.
Удаленный файл содержит 3 “.wav” файла: child.wav, redeye.wav, suicide.wav, которые издают «жуткий» звук, и главное намерение звука - напугать пользователя.
Автор программы-вымогателя RedEye использует несколько других трюков, таких как сжатие и компрессия, чтобы избежать обнаружения.
Как только он запустит процесс выполнения, изначально он отключит диспетчер задач и на этой итерации также скроет ваши диски.
Позже он полностью шифрует все файлы пользователя, используя алгоритм шифрования Rijndael-Algorithmus - AES-256 бит и блокирует все файлы на диске.
После успешного завершения процесса шифрования он отобразит уведомления о выкупе с подробной информацией о том, что могло бы случиться с компьютером жертв.
Уведомления о выкупе содержит полную информацию о платеже и требует заплатить 0.1 Bitcoin на указанный адрес.
Согласно исследователю программа-вымогатель имеет несколько опций, которые я здесь не отображаю, но кратко, это может быть указано следующим образом:
- Показать зашифрованные файлы;
- Расшифровать файлы;
- Поддержка;
- Разрушение ПК.
Опция Разрушение ПК показывает GIF как основу, где у вас есть опция «Сделать это»(“Do it”) и «Закрыть» (“Close”). Я не буду отображать изображение.
Все файлы RedEye надежно зашифрованы с помощью AES256 и, как оказалось, перезаписаны, а возможно даже заполняют файлы 0 байтами, делая данные документы бесполезными и добавляя расширение «.RedEye» в конце всех файлов на диске.
Вирус заблокирует MBR (Master Boot Record) и разрушит всю систему, когда пользователь выберет опцию «Сделай это» (“Do it”) или истечет срок оплаты.
Автор iCoreX утверждает, что создателем Jigsaw, как и программы-вымогателя RedEye является Annabelle.