ZCryptor — первая программа-вымогатель с функцией самораспространения

Компания Microsoft выпустила предупреждение о новом варианте ransomware, получившем название ZCryptor или ZCrypt, который обладает способностью самостоятельно распространяться через съемные или сетевые диски.

Первым о существовании новой угрозы 24 мая сообщил Jack, автор блога MalwareForMe. Спустя трое суток отреагировали также специалисты по безопасности из Microsoft Malware Protection Center: «Мы предупреждаем пользователей Windows о новом типе вымогательского ПО, которое по своему поведению напоминает червя».

ZCryptor инфицирует компьютеры, используя фальшивые установщики, обычно, для обновлений Adobe Flash, либо файлы Office с особыми макросами. Попав в систему ZCryptor добавляет ключ в компьютерный реестр для постоянной перезагрузки, а затем приступает к зашифровке файлов.

Программа-вымогатель также копирует себя на сменные и сетевые приводы. Такое поведение нетипично для ransomware и позволило Trend Micro классифицировать данную программу как «червя» с функциями самораспространения. До сих пор только Alpha Ransomware была способна искать и зашифровывать файлы в коллективно используемых каталогах, но она не могла реплицировать себя на другие приводы.

Жертвы ZCryptor видят стандартный заблокированный экран с требованием о выкупе. К зашифрованным файлам программа добавляет расширение .zcrypt, отсюда и её название.

Проанализировав образцы этой программы, Microsoft сообщает, что она нацелена на 88 разных типов файлов. Вариант, попавший в руки исследователя MalwareHunterTeam, шифрует уже 121 файловый формат, таким образом, похоже, что авторы ZCryptor продолжают дорабатывать своё ПО.