Эксперты считают, что Enlisted — лишь первая игра в серии атак, и скоро злоумышленники могут нацелиться на другие популярные в РФ проекты.
Как сообщают исследователи Cyble в своём недавнем отчёте , программа-вымогатель, подозрительно похожая на легендарный WannaCry, активно используется во вредоносной кампании, направленной на российских игроков многопользовательского шутера от первого лица «Enlisted».
Enlisted — массовый многопользовательский онлайн-шутер от первого лица, реконструирующий сражения Второй мировой войны. Игра разработана Darkflow Software, а издана Gaijin Entertainment. Как ни трудно догадаться, в чистом виде игра не представляет угрозы, это полностью легитимный софт. Однако хакеры всё же придумали, как достать пользователей.
Так как игра бесплатная, злоумышленники могут легко загрузить её установщик и модифицировать его, используя затем поддельные сайты, имитирующие официальный ресурс для скачивания. Там хакеры легко могут распространять заражённую копию инсталлятора среди ничего не подозревающих пользователей.
Поддельный сайт Enlisted
Программа-вымогатель, поставляемая в комплекте с модифицированным установщиком игры, выдаёт себя за третью версию печально известной WannaCry. Программа даже использует расширение «.wncry» для зашифрованных файлов.
По словам исследователей Cyble, которые проанализировали штамм, этот новый вариант якобы WannaCry основан на Python-локере с открытым исходным кодом под названием «Crypter». То есть он не имеет ничего общего с оригинальным WannaCry кроме интерфейса и названия.
Следует отметить, что это не первый случай, когда кто-то пытается имитировать WannaCry. Вероятно, чтобы использовать громкую репутацию вируса, тем самым запугав жертв и обеспечив быструю уплату выкупа.
Инсталлятор, загруженный с поддельного веб-сайта Enlisted, имеет название «enlisted_beta-v1.0.3.115.exe». При запуске он сбрасывает два исполняемых файла на диск пользователя, а именно «ENLIST ~ 1» (фактическая игра) и «enlisted» (программа запуска вымогателя на Python).
После запуска программа-вымогатель анализирует свой конфигурационный файл JSON, который определяет, какие типы файлов являются целевыми, какие каталоги следует пропустить, какую записку с требованием выкупа сгенерировать, на адрес какого кошелька должен быть отправлен выкуп, а также другие параметры атаки.
При шифровании используется алгоритм AES-256, и все заблокированные файлы получают расширение имени файла «.wncry». Интересно, что программа-вымогатель не пытается завершить процессы или остановить службы, которые могут помешать шифрованию, хотя это и является стандартной практикой в современных программах-вымогателях. Тем не менее, вредонос придерживается обычной стратегии удаления резервных копий Windows, чтобы предотвратить лёгкое восстановление данных.
После завершения процесса шифрования программа-вымогатель отображает уведомление о выкупе в специальном приложении с графическим интерфейсом, предоставляя жертве три дня на то, чтобы ответить на требования.
Интерфейс вредоносной программы, имитирующий WannaCry
Злоумышленники также изменяют фоновое изображение жертвы, чтобы обеспечить стопроцентную передачу своего сообщения, даже если запуск уведомления о выкупе будет заблокирован антивирусным софтом.
Чёрные обои с сообщением от вымогателей
Для связи с жертвами злоумышленники не применяют сайт Tor и не предоставляют ссылку на безопасный зашифрованный чат, используя вместо этого простого Telegram-бота.
Не исключено, что позже под удар киберпреступников могут попасть и другие популярные среди русскоязычных пользователей игры. Поэтому необходимо проявлять повышенную бдительность и использовать для загрузки только официальные источники.
А если вы сомневаетесь в оригинальности сайта, у большинства проектов, особенно у игр, существуют аккаунты в социальных сетях. Поэтому всегда можно перейти туда и перепроверить актуальные ресурсы для скачивания.
Собираем и анализируем опыт профессионалов ИБ