Известные ИБ-специалисты создали новый вайпер Azov

Эксперты кибербезопасности обнаружили новый вайпер Azov Ransomware, который активно распространяется через пиратское ПО, генераторы ключей и пакеты рекламного ПО. Вайпер также пытается подставить известных исследователей безопасности, утверждая, что они стоят за атакой.

В записке с требованием выкупа говорится, что устройства зашифрованы в знак протеста против присоединения Крыма к России и недостаточной помощи Украине со стороны западных стран.

Записка о выкупе предлагает жертвам для восстановления файлов связаться с исследователями BleepingComputer, MalwareHunterTeam и AdvIntel в Twitter, выдавая их за операторов программы-вымогателя.

Кроме того, поскольку нет возможности связаться с злоумышленниками, чтобы заплатить выкуп, эксперты рассматривают это вредоносное ПО как вайпер, а не как программу-вымогатель. Некоторые жертвы уже обратились к BleepingComputer за помощью в восстановлении файлов, однако, на данный момент помочь жертвам невозможно.

В рамках новой кампании злоумышленник купил установщик Azov Ransomware через ботнет SmokeLoader . Более того, Azov Ransomware поставляется вместе с инфостилером RedLine Stealer и программой-вымогателем STOP .

По словам экспертов BleepingComputer, жертвы подвергаются двойному шифрованию сначала с помощью Azov Ransomware, а затем с помощью STOP.

После установки Azov Ransomware сканирует все диски на компьютере и шифрует любой файл, не имеющий расширений «.ini», «.dll» и «.exe». К именам зашифрованных файлов добавляется расширение «.azov».

Хотя исследователи будут анализировать программу-вымогатель на наличие слабых мест в шифровании, сейчас это вредоносное ПО следует считать деструктивным, поскольку нет возможности связаться с злоумышленниками и восстановить ключи дешифрования .