Теги → вирус-вымогатель

Canon взломан: серверы лежат, информация украдена, хакеры требуют денег

По данным интернет-издания BleepingComputer, онлайн-сервисы компании Canon подверглись мощной хакерской атаке. В настоящий момент не работают более двух десятков американских сайтов производителя фото и видеоаппаратуры, а также почтовые сервисы, внутренние корпоративные платформы и многие другие приложения. Кроме того, как указывает источник, хакеры предположительно похитили 10 Тбайт данных, включающих личную информацию.

Источник сообщает, что атака предположительно началась ещё 30 июля, с сайта image.canon (облачного сервиса Canon, позволяющего хранить фотографии и видео), когда стали наблюдаться проблемы в его работе, а затем он и вовсе отключился.  В течение нескольких дней сервис был недоступен. С 4 августа Canon его снова запустила. Однако на главной странице сайта о хакерской атаке ничего не сообщается. Кроме того, в сообщении указывается, что с доступом к 10 Тбайт архивной информации, сохранённой до 16 июня, наблюдались проблемы, в результате которых эти данные были потеряны. В то же время Canon заверяет, что никаких утечек данных не происходило. И вообще все проблемы они решили.

BleepingComputer решили копнуть глубже и выяснили, что проблемы были (и остаются) не только с облачным сервисом Canon. Под атакой оказалось несколько десятков других онлайн-ресурсов компании. В распоряжение журналистов попало изображение сообщения из сервисного отдела Canon, в котором указывается о массовых системных неполадках в работе множества платформ, а также проблемах с доступом к различным ресурсам, включая почту и канал для связи на платформе Microsoft Teams.

Проверка показала, что в настоящий момент не работает ни один из более 20 представленных ниже сайтов компании. При входе на них пользователя встречает «заглушка», сообщающая о том, что ресурс находится на техническом обслуживании.

Позже выяснилось, что атака была произведена хакерской группировкой Maze, стоящей за созданием вируса-вымогателя Maze Ransomware. Журналистам удалось выйти на её представителей. Те опровергли информацию о том, что первоначальная атака на сайт image.canon была произведена ими, однако подтвердили, что стоят за взломом более 20 различных сервисов Canon. Ресурсу удалось получить в своё распоряжение часть скриншота с посланием хакеров для Canon, в котором они указывают, что получили доступ к «10 Тбайт данных, частных баз данных и прочей информации», хранящейся на серверах онлайн-сервисов Canon. Каким-либо образом подтвердить свои слова хакеры отказались. 

В своём послании хакеры Maze также сообщают, что зашифровали украденные данные и их резервные копии. Canon сможет получить декриптор и доступ к данным только в том случае, если решит заплатить за это. Кроме того, после оплаты хакеры обязуются удалить все данные со своих носителей. Подробности сделки не указываются, но злоумышленники готовы их предоставить через собственную площадку в даркнете. Судя по всему, ниже в послании идёт инструкция о том, как это сделать, но скриншот дальше обрывается. Если Canon не пойдёт на предложенные условия, Maze угрожают опубликовать все данные компании в открытом доступе на своём сайте.

Ресурс BleepingComputer обратился за комментариями в Canon, но там пока молчат. Как указывает источник, ранее жертвами хакеров Maze и их вируса-вымогателя Maze Ransomware стали многие компании, включая LG, Xerox, Conduent, MaxLinear, Cognizant, Chubb, VT San Antonio Aerospace и другие.

Кибератака вынудила Honda приостановить на день производство по всему миру

Honda Motor сообщила во вторник о приостановке производства некоторых моделей автомобилей и мотоциклов по всему миру в связи с кибератакой, произошедшей в понедельник.

REUTERS/Jonathan Ernst

REUTERS/Jonathan Ernst

По словам представителя автопроизводителя, хакерская атака затронула Honda в глобальном масштабе, вынудив компанию прекратить работы некоторых заводов из-за отсутствия гарантии полноценной работы систем контроля качества после вмешательства хакеров. Хакерская атака повлияла на работу электронной почты и других систем на заводах по всему миру, так что компании пришлось отправить немало сотрудников домой.

Как утверждает представитель Honda, целью вируса-вымогателя был один из внутренних серверов компании. Он добавил, что вирус распространился по всей сети, но не стал вдаваться в подробности.

По данным Financial Times, на данный момент работа большей части заводов компании была возобновлена, но автомобильные заводы Honda в Огайо и Турции и мотоциклетные заводы в Бразилии и Индии, как сообщается, по-прежнему остаются закрытыми.

Компания настаивает на том, что её данные не были похищены, и что хакерская атака оказала минимальное влияние на её бизнес. У Honda имеется по всему миру более чем 400 филиалов, где работает около 220 тыс. человек.

Вирус RobbinHood атакует ПК через брешь в драйверах Gigabyte

Несколько дней назад специалисты британской компании Sophos сообщили о проблеме на ПК, где используются драйверы Gigabyte. Как оказалось, в них есть уязвимость, позволяющая отключать антивирусы и брать компьютеры под контроль. Проблема проявляется на Windows 7, Windows 8 и Windows 10.

techadvisor.co.uk

techadvisor.co.uk

Сначала злоумышленники осуществляют установку легального драйвера Gigabyte GDRV.SYS, через который можно получить доступ к ядру. После этого система проверки подписи драйверов в Windows временно отключается, а затем производится установка драйвера RBNL.SYS, который позволяет остановить антивирусы на локальный машине, «убивает» процессы и удаляет файлы систем безопасности, а также блокируют доступные способы восстановления ОС.

Наконец, после этого запускается вирус-вымогатель RobbinHood. Это вредоносное ПО зашифровывает файлы и выставляет цену в $10 тысяч, причём каждый день «просрочки» увеличивает сумму ещё на $10 тысяч.

По данным экспертов это не единственный случай. Схожие бреши есть в приложения VirtualBox (CVE-2008-3431), Novell (CVE-2013-3956), CPU-Z (CVE-2017-15302), а также ASUS (CVE-2018-18537). Однако активное применение зафиксировано только для драйвера Gigabyte (CVE-2018-19320).

Самое интересное, что уязвимость была обнаружена ещё в 2018 году. Однако в Gigabyte сначала заявили, что бреши не существует, а после публикации эксплойта просто прекратили разработку этого драйвера. В свою очередь, сертификат компании Verisign, которым подписан драйвер, до сих пор не отозван, а само уязвимое ПО можно загрузить и сегодня.

Учитывая, что против уязвимости не помогут ни антивирусы, ни разработчики, специалисты из Sophos рекомендуют ввести многофакторную аутентификацию, использовать сложные пароли, ограничивать права доступа и регулярно делать бэкапы, которые должны храниться на изолированных машинах.

ESET предупреждает о всплеске активности нового шифратора GandCrab

Работающая в сфере IT-безопасности компания ESET информирует о всплеске активности новой программы-шифровальщика GandCrab, блокирующей доступ к данным на компьютере и требующей выплаты определённой суммы киберпреступникам для возвращения доступа к ценной информации.

Шифратор распространяется под видом программ для взлома популярных в пользовательской среде приложений и игр, таких, как Minecraft, Counter Strike, StarCraft, Adobe Acrobat, Microsoft Office, антивирусный софт и др. Попав в систему жертвы, GandCrab собирает информацию с устройства, включая имя компьютера, имя пользователя и IP-адрес. Далее вредоносная программа запускает процесс шифрования данных на жёстких, съёмных и сетевых дисках, удаляет резервные копии операционной системы и выводит на экран требование выкупа в криптовалюте.

GandCrab может шифровать файлы различных форматов, в том числе документы Microsoft Office, OpenOffice, PDF и текстовые файлы, базы данных, фотографии, музыку и видео. При этом восстановить зашифрованные данные в настоящее время не представляется возможным.

Эксперты компании ESET советуют воздержаться от установки любых «кряков» и пиратских версий легитимных программных продуктов. «Если заражение шифратором произошло, платить вымогателям не рекомендуется — получение выкупа ни к чему их не обязывает, зато мотивирует продолжать противоправную деятельность», — говорится в информационном сообщении антивирусного вендора.

В облачном хранилище OneDrive появилась защита от вирусов-вымогателей

Microsoft добавила в облачное хранилище OneDrive функцию «Восстановление файлов» (Files Restore), которая ранее была доступна только владельцам бизнес-аккаунтов. Теперь ею могут пользоваться все, у кого оформлена подписка Office 365. Нововведение позволяет восстанавливать файлы в облаке за последние 30 дней.

Компания позиционирует функцию как способ защититься от вирусов-вымогателей, которые блокируют файлы на компьютере и зачастую пытаются удалить облачные копии, хранящиеся в синхронизированных папках. Обычно жертвам таких вирусов придётся платить злоумышленникам, чтобы получить свои документы обратно.

Если OneDrive обнаружит массовое удаление файлов в облаке, то Microsoft сообщит об этом пользователю по почте или через мобильное или настольное уведомление. После этого можно будет быстро откатить изменения до того момента, когда вирус начал удалять файлы.

Ссылки, с помощью которых вы делитесь документами из OneDrive, теперь можно защитить паролем. Редмондский гигант также усилил защиту писем в Outlook.com. Шифрование можно включать для отдельных сообщений. Если сервис обнаружит в письме конфиденциальную информацию, то сам предложит её защитить.

Зашифрованные сообщения можно читать через Outlook.com, Outlook для iOS и Android, почтовый клиент Windows или просто по специальной ссылке. Автор письма волен запретить пересылать и копировать его.

Все перечисленные функции, кроме защищённых паролем ссылок в OneDrive, уже должны быть доступны некоторым пользователям Office 365, а до остальных подписчиков доберутся до конца месяца. Зашифрованные ссылки появятся в облачном сервисе в ближайшие недели.

Acronis выпустила бесплатное решение для защиты от программ-шифровальщиков

Компания Acronis объявила о выпуске бесплатного продукта Ransomware Protection, предназначенного для защиты от вредоносных программ-шифровальщиков, блокирующих доступ к данным и требующих выплаты определённой суммы для возвращения доступа к ценной информации.

В основу Acronis Ransomware Protection положена технология Active Protection, распознающая нетипичные модели поведения приложений при доступе к файлам и нейтрализующая атаки программ-шифровальщиков. При этом для выявления аномалий в работе системных процессов используются не только эвристические механизмы, но и дополнительные функции, в том числе технологии машинного обучения и искусственного интеллекта на базе нейронных сетей.

В случае атаки программы-вымогателя Ransomware Protection блокирует вредоносный процесс и уведомляет об этом пользователя через сообщение во всплывающем окне. Если какие-то файлы были зашифрованы или повреждены во время атаки, приложение Acronis автоматически восстанавливает их из резервных копий.

Скачать установочный дистрибутив Active Protection можно по этой ссылке на сайте компании-разработчика. На данный момент решение доступно только для ОС Windows. Всем пользователям приложения Acronis предоставляет бесплатное облачное хранилище объёмом 5 Гбайт для резервного копирования и защиты важных файлов не только от вредоносных программ, но и от аппаратных сбоев, стихийных бедствий и иных событий, вызывающих потерю данных.

Bad Rabbit: в России грядёт эпидемия нового шифровальщика

«Лаборатория Касперского» предупреждает о том, что в России наблюдаются атаки опасной вредоносной программы — шифровальщика Bad Rabbit. Эти нападения могут вылиться в очередную масштабную эпидемию.

Предварительный анализ показывает, что зловред распространяется через ряд заражённых сайтов российских СМИ. Все признаки указывают на то, что это целенаправленная атака на корпоративные сети.

После проникновения на компьютер жертвы вредоносная программа шифрует пользовательские файлы. Для восстановления доступа к закодированным данным предлагается заплатить выкуп в размере 0,05 биткойна, что по современному курсу примерно эквивалентно 283 долларам США или 15 700 рублям. При этом злоумышленники предупреждают, что в случае промедления цена за расшифровку вырастет.

Подробности о схеме распространения Bad Rabbit пока отсутствуют. Не ясно и то, можно ли расшифровать файлы. Но уже известно, что большинство жертв атаки находятся в России. Кроме того, похожие нападения зафиксированы в Украине, Турции и Германии, но в значительно меньшем количестве.

В нынешнем году российские пользователи уже попадали под удар двух нашумевших шифровальщиков. Речь идёт о зловредах WannaCry и ExPetr (он же Petya). «Лаборатория Касперского» отмечает, что организаторы атаки Bad Rabbit используются методы, похожие на те, что наблюдались в ходе киберкампании ExPetr. Однако связь между двумя этими атаками пока не подтверждена.

По имеющимся данным, из-за атаки Bad Rabbit пострадали российское информационное агентство «Интерфакс» и онлайн-издание «Фонтанка». На момент написания заметки корреспондентам 3DNews не удалось открыть эти ресурсы.

«Из-за хакерской атаки в работе серверов Интерфакса возник сбой. Технические службы предпринимают все меры для восстановления работы систем», — пишет в Twitter «Интерфакс».

Очевидно, что атака Bad Rabbit тщательно готовилась. Эксперты по вопросам информационной безопасности занимаются изучением проблемы и поиском методов расшифровки файлов. Мы будем следить за развитием событий. 

Компания Maersk потеряла $300 млн из-за ExPetr

В конце июня текущего года датская компания A.P. Moller-Maersk, занимающаяся судоходным и логистическим бизнесом, стала жертвой компьютерного вируса-вымогателя ExPetr. Согласно прогнозу, опубликованному в отчёте за второй квартал, это обойдётся ей в $200–300 млн упущенной выгоды. Уточнённую сумму убытков конгломерат, скорее всего, сообщит уже в итогах третьей четверти, ведь негативные последствия кибератаки он продолжал испытывать на себе на протяжении первых двух недель июля.

Наибольшие масштабы заражения шифровальщиком ExPetr наблюдались в подразделениях Maersk Line (морские грузоперевозки), APM Terminals (контейнерные терминалы) и Damco (логистика). Работа нескольких портов была парализована в течение нескольких дней, что для компании такого уровня не могло не обойтись сотнями миллионов долларов ущерба. Отметим, что представительства Maersk находятся более чем в 135 странах мира, а общее число их сотрудников достигает 90 000 человек. Кроме того, Maersk считается крупнейшим в мире оператором морских контейнерных перевозок.

Leon Compton / Twitter

Leon Compton / Twitter 

Напомним, что ExPetr начал свое распространение 27 июня 2017 года с Украины через скомпрометированное обновление программы документооборота M.E.Doc, а затем проник в Россию и другие страны. Как и его предшественник WannaCry, зловред требовал выкуп в размере $300 в Bitcoin-эквиваленте за якобы расшифровку файлов. Однако, как позже выяснили эксперты «Лаборатории Касперского», на самом деле такая функция в него заложена не была. Кроме того, email-адрес, посредством которого жертвы должны были связываться с хакерами для разблокировки своих компьютеров, был закрыт сервис-провайдером Posteo.

Количество жертв программ-шифровальщиков быстро растёт

«Лаборатория Касперского» подсчитала, что количество пострадавших от программ-вымогателей за год увеличилось практически в два раза.

Схема работы зловредов-вымогателей сводится к следующему. Проникнув на устройство жертвы, вредоносная программа шифрует файлы распространённых форматов. Далее на экран выводится сообщение о проведённом кодировании, которое сопровождается предложением заплатить выкуп за восстановление доступа к данным. Как правило, злоумышленники требуют вознаграждение в криптовалюте.

Итак, по данным «Лаборатории Касперского»,  количество пострадавших от троянов, шифрующих файлы, выросло практически вдвое — с 718 536 в 2015–2016 годах до 1 152 299 в 2016–2017. При этом число пользователей, ставших жертвами всех программ-вымогателей, за тот же период выросло только на 11,4 %: с 2 315 931 до 2 581 026.

Лаборатория Касперского

Лаборатория Касперского

Эксперты отмечают, что всё чаще шифровальщики нацелены на финансовую и промышленную инфраструктуру. Причина такой тенденции очевидна: преступники считают целевые вредоносные атаки на организации гораздо более прибыльными, чем массовые атаки на рядовых пользователей. В таком случае целью киберпреступников становятся не только деньги компании, но и ценная информация, которую можно использовать для шантажа или саботажа.

Злоумышленники также активно осваивают новые территории. Например, Россия ранее входила в десятку государств, отличающихся наиболее интенсивным ростом количества инцидентов с программами-вымогателями, но по итогам отчётного периода уступила место таким странам, как Турция, Вьетнам и Япония. 

Вирус-вымогатель ExPetr атакует компьютеры всего мира

Американский разработчик антивирусного программного обеспечения Symantec опубликовал рекомендации, как избежать заражения вирусом-вымогателем Petya, который в минувший вторник атаковал сначала российские и украинские компании и госучреждения, а затем распространился и в других странах. Вредоносная программа работает по принципу нашумевшего шифровальщика WannaCry, масштабная эпидемия которого произошла в мае, и также требует выкуп в размере $300 в биткоиновом эквиваленте. Правда, пока нет достоверной информации о том, использует ли она эксплойт, патч против которого уже был выпущен Microsoft, или же речь идёт о какой-то новой уязвимости из рассекреченного хакерами арсенала АНБ.

Тем не менее, как оказалось, вирус можно обезвредить ещё до того, как он зашифрует файлы на компьютере. Для этого в папке Windows на системном диске необходимо создать в блокноте пустой файл с именем perfc без расширения. Как утверждают в Symantec, попав в систему, Petya ищет именно этот файл и, найдя его, считает данный компьютер уже заражённым, прекращая работу.

thenextweb.com

thenextweb.com 

Если же вирус всё-таки заражает компьютер, то он перезаписывает главную загрузочную запись (MBR), не давая Windows загружаться. Однако, как отмечают в компании Positive Technologies, специализирующейся на вопросах информационной безопасности, это происходит не сразу, а через 1–2 часа после заражения, когда вредоносная программа перезагружает компьютер. То есть если пользователь в течение указанного времени успеет запустить команду bootrec/fixmbr, то сохранит работоспособность операционной системы. Правда, для расшифровки файлов, если их резервные копии отсутствуют, всё равно потребуется ключ.

Как сообщают СМИ, даже заплатив хакерам выкуп, получить дешифратор не представляется возможным. Дело в том, что после перевода $300 на указанный биткоин-кошелёк «жертва» должна направить данные платежа и сгенерированный вирусом персональный инсталляционный код на определённый адрес электронной почты. Но данный адрес в настоящий момент заблокирован немецким серсис-провайдером Posteo, на котором располагался «ящик». Таким образом, даже те, кто уже отправил деньги злоумышленникам (по состоянию на вечер 27 июня общая сумма переводов составила порядка $5600, к полудню 28 июня она достигла $9130), вряд ли смогут вернуть доступ к своей информации. Впрочем, этого никто не гарантировал бы и в том случае, если бы почта была рабочей.

Leon Compton / Twitter

Leon Compton / Twitter 

Напомним, что первые сообщения об атаке вируса-шифровальщика Petya стали поступать днем 27 июня. Как передаёт «Коммерсантъ» со ссылкой на Group-IB, среди жертв вредоносной программы оказались российские компании «Башнефть» и «Роснефть», украинские «Запорожьеоблэнерго» и «Днепроэнерго». Кроме того, от действий вируса пострадали корпорации Mars и Nivea, Киевский метрополитен, магазины «Ашан», операторы «Киевстар», LifeCell и «Укртелеком». Некоторые банки, стремясь избежать серьёзных осложнений, пошли на превентивные меры и провели проверку безопасности своих систем. По этой причине, к примеру, некоторое время не совершались клиентские операции в отделениях «Банка Хоум Кредит», хотя банкоматы и колл-центр продолжали исправно работать.

Последствия атаки Petya отмечались не только на территории России, Украины и Европы, но и даже на других континентах. В австралийском городе Хобарте, например, из-за вируса было остановлено производство на кондитерской фабрике Cadbury's. Примечательно, что майская эпидемия WannaCry Австралию, в отличие от многих других стран, практически не затронула.

Обновлено в 12:30«Лаборатория Касперского» в рамках расследования последней волны заражений программой-шифровальщиком установила существование нового семейства вредоносного ПО, которое имеет лишь несколько общих с вымогателем Petya строк кода и существенно отличается от него функциональностью.

Новый вирус, атаковавший уже порядка 2000 компьютеров, получил название ExPetr. Рекордсменами по числу заражений снова являются Россия и Украина, также инциденты зафиксированы в Польше, Италии, Великобритании, Германии, Франции, США и некоторых других странах.

Предполагается, что для своего распространения ExPetr использует несколько векторов атаки и основан на модифицированном эксплойте EternalBlue, а также уязвимости EternalRomance.

Обновлено в 14:44.  Корпорация Microsoft заявила информационному агентству RNS, что её антивирус способен защитить пользователей от вредоносного ПО Petya. По данным софтверного гиганта, шифровальщик использует несколько методов распространения, включая тот, который блокируется ранее выпущенным обновлением MS17-010.

Установить данный апдейт, если это ещё не было сделано, рекомендует и «Лаборатория Касперского». Также она советует запретить исполнение файла perfc.dat и запуск утилиты PSExec. В российской антивирусной компании утверждают, что уже работают над дешифратором, который не только сможет вернуть доступ к закодированным файлам, но и будет распознавать будущие модификации вируса.

Тем временем Petya продолжает распространяться по миру и теперь «направляется» в Азию. Как сообщает Bloomberg, из-за атаки уже наблюдались перебои в работе терминала компании A.P. Moller-Maersk в Джавахарлал Неру — крупнейшем контейнерном порту Индии. Из-за вируса управление грузопотоком пришлось перевести в ручной режим, так как автоматизированная система оказалась выведена из строя. Признаки активности вируса замечены и в Китае, но пока крупных сбоев там не обнаружено, сообщили в Qihoo 360 Technology Co.

Обновлено в 16:05.  По высказанному ещё вчера мнению украинской киберполиции, распространение вируса Petya началось именно в этой стране через программу документооборота M.E.Doc после того, как та завершила автоматическое обновление. И хотя разработчики приложения первоначально отрицали такую возможность, Microsoft, проанализировавшая ситуацию, утверждает, что имеет веские доказательства проведения некоторых атак с использованием канала доставки апдейтов M.E.Doc.

Аналогичной точки зрения придерживаются и специалисты из ESET, установившие, что источником эпидемии Win32/Diskcoder.C Trojan (Petya.С) стало скомпрометированное обновление программы M.E.Doc, широко распространённой в украинских компаниях. Последнее обстоятельство послужило ключевой причиной быстрого распространения вируса по организациям страны.

Для защиты от Petya компания ESET рекомендует использовать комплексное антивирусное ПО, обновлённое до последней версии и с актуальными вирусными базами, установить все патчи для Windows и проверить систему на защищённость от эксплойта EternalBlue. Если же заражение уже произошло, то первым делом необходимо отключить инфицированные рабочие станции от корпоративной сети. При этом платить злоумышленникам не следует, тем более, что, как мы писали ранее, адрес электронной почты, с которого хакеры якобы должны прислать ключ для дешифрования файлов, заблокирован.

Обновлено в 20:26.  Пока в России и Украине — странах, первыми принявших на себя удар вируса Petya, — устраняют последствия его активности, эксперты из Check Point говорят о трендах, которые демонстрирует атака данного зловреда. По словам главы представительства компании в России и СНГ Василия Дягилева, появление Petya показало, насколько быстро могут создаваться и распространяться на глобальном уровне новые версии вредоносного ПО. При этом многие организации сейчас не готовы к превентивной защите для предотвращения подобных угроз. Простое их обнаружение, работавшее раньше, теперь не помогает — блокировать подозрительный контент и трафик нужно ещё до его попадания в сеть.

Тем временем, как и после атаки WannaCry, специалисты в области компьютерной безопасности предупреждают, что подобные вирусы будут встречаться всё чаще. «Больше не стоит вопрос, станет ли та или иная организация жертвой вымогательского ПО. Вопрос в том, как скоро это произойдёт», — заявил гендиректор компании Druva Джасприт Сингх (Jaspreet Singh).

К слову, на данный момент ущерб от Petya ещё не подсчитан. Однако, как написала в своём твиттере компания «Роснефть», в числе первых подвергшаяся атаке 27 июня, её производственные процессы нарушены не были. «Существуют отдельные проблемы, которые оперативно решаются. Компания работает в штатном режиме. Ситуация находится под контролем. Оценивать последствия кибератаки пока преждевременно», — говорится в сообщении, опубликованном днём в среду, 28 июня.

Обновлено в 22:16. Из различных уголков планеты продолжают поступать новости о «достижениях» вируса-вымогателя Petya. На этот раз сообщается о проблемах у TNT Express — одной из крупнейших международных компаний экспресс-доставки, расположенной в Нидерландах. Сервис продолжает функционировать, но в его работе наблюдаются задержки. «В настоящее время мы не можем оценить финансовые последствия данного сбоя, но они могут быть существенными», — прокомментировали ситуацию в корпорации FedEx, владеющей TNT Express.

Новый вирус просит набрать 200 миллионов очков в игре, чтобы разблокировать файлы

Вирусы-вымогатели — привычное дело, но недавно в Сети была обнаружена совершенно уникальная вредоносная программа. Rensenware не вынуждает выкупить данные, а предлагает сыграть в очень сложную игру и получить максимальное количество очков, чтобы расшифровать информацию на компьютере.

По словам разработчика, вирус был создан в шутку и вообще не должен был использоваться со злым умыслом. Название Rensenware — это каламбур на Touhou Seirensen (Undefined Fantastic Object), название игры в аниме-стиле, выпущенной в 2009 году.

На заражённом компьютере появляется окно с изображением девушки в соответствующем стиле. В сообщении говорится, что файлы пользователя зашифрованы: чтобы разблокировать к ним доступ, нужно набрать 200 миллионов очков на «безумном» уровне сложности. Как можно судить по расположенному выше видеоролику, достичь этого результата нелегко.

Автор Rensenware — корейский студент-старшекурсник, известный в Twitter под ником Tvple Eraser. Он объяснил, что вредоносное ПО — это шутка: он опубликовал исходный код на GitHub лишь для того, чтобы поделиться с людьми.

slashgear.com

slashgear.com

Как рассказал разработчик, ему стало скучно, он решил «пошутить», после чего уснул. Когда он проснулся, то узнал, что вирус распространился по Интернету. Более того, автор Rensenware случайно заразил и свой компьютер.

Разработчик принёс извинения за причинённые пользователям неудобства и признал, что размещение кода в Сети было ошибкой. Он обновил страницу вируса на GitHub, заменив исходный код инструментом, который позволяет обойти шифрование, не запуская игру.

window-new
Soft
Hard
Тренды 🔥