Новый вредонос блокирует доступ в сеть и ищет Bitcoin

Специалисты по безопасности компании Emsisoft обнаружили вредоносный код под названием Linkup (модификация троянской программы Trojan-Ransome.Win32.Linkup), который перехватывает контроль над DNS серверами, используемыми компьютером для доступа в интернет, а затем ищет Bitcoin.

После проникновения в систему Linkup делает несколько своих копий под разными именами и создает мьютекс (семафорный механизм для синхронизации одновременно выполняющихся потоков) с именем tnd990r или tnd990s. Далее вредонос посылает на сервер POST запрос и получает данные о компьютере пользователя. После этого Linkup производит изменения в регистре Windows и получает возможность перенаправлять все DNS запросы.

Linkup полностью блокирует доступ к интернету и отображает подложное сообщение якобы от Совета Европы, что компьютер заблокирован из-за того, что возможно содержит детскую порнографию. Владельцу ПК предлагается заплатить штраф размером всего 0,01 евро кредитной картой и сообщить некоторые персональные данные. Далее вредонос загружает jhProtominer и пытается подключить компьютер-жертву к Bitcoin-ботнету, который использует мощность сети зараженных ПК для получения новых Bitcoin. В настоящее время Linkup может включить в ботнет только компьютеры под управлением 64-битных ОС, что связано с ограничениями на работу jhProtominer, но в перспективе могут появиться и другие варианты.