Хакеры скрывают программы-вымогатели под видом патчей для продуктов Google

Под видом программы Google Software Update, которая предназначена для автоматического обновления программных продуктов компании, хакеры распространяют новый вымогатель HavanaCrypt, обладающий рядом особенностей. Такой информацией поделились эксперты компании Trend Micro.

Одной из отличительных особенностей HavanaCrypt является использование вместо командного сервера хостинга одного из сервисов от Microsoft. Таким образом программа-вымогатель скрывает свою работу и избегает обнаружения. Кроме того, вирус использует функцию, выставляющую методы по очереди, для последующего выполнения, а также применяет модули от менеджера паролей, имеющего открытый код, чтобы добиться шифрования. Обфускание осуществляется за счет использования программы Obfuscar, также имеющей открытый код.

После того, как приложение проводит инициацию, оно скрывает все свои окна и проверят «Автозагрузку» на предмет наличия в ней записей об использовании программы для обновления продуктов Google. Если такой записи в списке нет, вымогатель продолжает свою работу.

В последующем программа выполняет несколько последовательных этапов, связанных с работой виртуальной машины. Она проверяет службы, файлы, имена файлов, а также МАС-адреса.

После прохождения всех проверок и преодоления защиты, программа в автоматическом режиме скачивает текстовый файл, превращает его в исполняемый и запускает. Запуск этого файла блокирует работу стандартных средств антивирусной защиты Windows, что позволяет вирусу продолжать свою работу. После этого он блокирует запуск системы, добавляет изменения в автозагрузку, а также отключает Диспетчер задач.

Поскольку в обнаруженной программе-вымогателе нет извещения с предложением выкупить код для разблокировки, которое обычные вирусы демонстрируют пользователю, эксперты предположили, что данный софт еще находится в стадии разработки и хакерами пока не применяется.