Вредоносное ПО AlphaCrypt распространяется через набор эксплоитов Angler.
Исследователи компании Webroot обнаружили новый образец в семействе криптовымогателей. Вредонос, получивший название AlphaCrypt, разработан по аналогии с TeslaCrypt, однако принцип его действия соответствует функционалу Cryptowall 3.0.
Хотя новый образец выглядит идентичным TeslaCrypt, в него добавлены некоторые улучшения, в частности, возможность удаления VSS (Volume Shadow Copy Service). Происходит процесс следующим образом: вредонос вводит в командную строку команду
vssadmin.exe delete shadows /all /Quiet/, что позволяет удалить все теневые копии файлов жертвы. Кроме того, троян выполняет процесс "по-тихому", то есть на экран компьютера не выводится никаких сообщений.
Как и в предыдущих вариантах, оплата выкупа производится в биткоинах. Таким образом злоумышленники сохраняют свою анонимность и могут без труда "отмыть" деньги через различные Bitcoin-обменники.
По словам эксперта компании Rackspace Брэда Данкана (Brad Duncan), также проводившего анализ AlphaCrypt, распространение вредоносного ПО происходит через набор эксплоитов Angler. Стоит отметить, что и сам эксплоит, и функциональная часть вируса отличаются чрезвычайно низким уровнем распознавания антивирусными решениями (2/57 и 5/57 соответственно по данным VirusTotal).
Спойлер: мы раскрываем их любимые трюки