В прошлом месяце мы написал о появлении новых модификаций шифровальщика Simplocker для Android. Злоумышленники изменили некоторые особенности поведения вредоносного ПО, а также векторы его распространения.
На прошлой неделе мы обнаружили новые модификации этого вредоносного ПО (обнаруженного как Android/Simplocker.I ), что добавило несколько существенных улучшений.
Первое изменение, которое бросается в глаза, — это текстовое сообщение программы-вымогателя.
Теперь оно отображается на английском языке.
Посредством этого сообщения жертву запугивают и вымогают деньги, утверждая, что устройство было заблокировано правоохранительными органами, а точнее ФБР, после того, как на нем был обнаружен незаконный контент в виде детской порнографии.
Подобные программы-вымогатели не являются редкостью в мире Windows. Сумма выкупа теперь составляет 300 долларов (в отличие от прежних 260 гривен, что соответствует 16 евро или 21 доллару).
Способ оплаты также изменился; теперь это необходимо сделать с помощью сервиса MoneyPak. Как и в предыдущих версиях Simplocker, в этой версии злоумышленники продолжали использовать изображения с камеры смартфона при отображении сообщения с требованием выкупа.
С технической точки зрения механизм шифрования файлов остается практически прежним, за исключением использования нового ключа шифрования.
Кроме того, обновленная версия троянца умеет шифровать архивные файлы ZIP, 7z и RAR. Эти форматы файлов были добавлены к тем, которые уже использовались предыдущей модификацией вредоносной программы, специализировавшейся на файлах изображений, документах и видео.
Механизм шифрования архива может иметь неприятные последствия для пользователя.
Инструменты резервного копирования Android (которые мы настоятельно рекомендуем использовать) хранят резервные копии файлов в архивах.
Если пользователь заразится Android/Simplocker.I, эти резервные копии будут зашифрованы.
Вредоносная программа также запрашивает разрешение на установку от имени Администратора устройства, т.е.
запрашивает высокие права в системе.
Обычные приложения, такие как «Администратор устройства», используют эти расширенные права для различных операций, например, связанных с безопасностью.
Примером такого приложения являются инструменты администрирования предприятия, которые могут применять специальную политику паролей, а также удаленно стереть данные на украденном устройстве.
Android/Simplocker.I использует возможность установки от имени Администратора устройства для обеспечения его самозащиты в системе, в этом случае перед удалением программы с устройства пользователю необходимо сначала отозвать приложение из списка администраторов устройства ( Настройки -> Безопасность -> Администраторы устройства).
Как и во многих других дистрибутивах вредоносного ПО, злоумышленники используют методы социальной инженерии, чтобы побудить пользователя установить вредоносное ПО.
Для этого он маскируется под видеоплеер, как показано на скриншоте ниже.
Наша статистика обнаружения на сегодняшний день не документально подтвердила распространенность этой угрозы в англоязычных странах.
Если ваше устройство стало жертвой Android/Simplocker, вы можете воспользоваться обновленным инструментом Дешифратор ESET Simplocker для восстановления ваших данных.
Но, как всегда в таких случаях, мы рекомендуем сосредоточиться на профилактике заражения.
Будьте осторожны при установке приложений на свое устройство, особенно тех приложений, которые запрашивают права администратора устройства.
Теги: #simplocker #вымогатели #Android #информационная безопасность
-
Концепция: Редизайн Игрового Сервиса Steam.
19 Oct, 24 -
Моя Поездка Во Фрии
19 Oct, 24 -
Прототипирование Asic На Fpga
19 Oct, 24
