Специалисты в области IT-безопасности рассказали о новой версии вредоносного ПО Rakhni для Windows. Его загрузчик самостоятельно решает, как именно поступить с компьютером жертвы: наладить скрытый майнинг криптовалют, зашифровать файлы и требовать выкуп либо запустить компонент-червь и распространиться по другим машинам в локальной сети.
Решение о загрузке шифровальщика или майнера зависит от наличия в системе папки %AppData%Bitcoin. Если она есть, загрузчик скачает шифровальщик. Если папки нет и у компьютера более двух логических процессоров, будет скачан майнер. Если этой папки нет, а на компьютере доступен только один логический процессор, загрузчик переходит к компоненту-червю.
Распространяется вирус с помощью спам-писем и запуска вложений в них. Исполняемый файл скрывается под видом PDF-файла. После запуска выводится ошибка, из-за которой якобы не удалось открыть вложение. Вредоносное ПО проводит проверку системы на наличие директорий и файлов, при необходимости и возможности отключает встроенный «Защитник Windows», устанавливает корневой сертификат и занимается выбранным типом деятельности.
Более подробная информация о Trojan-Ransom.Win32.Rakhni размещена на сайте «Лаборатории Касперского».
Читайте также
Последние новости