Швидко поширюється новий вид здирницького ПЗ. Новий здирник заразив понад 100 тис. ПК у Китаї всього за 4 дні

По Китаю стрімко поширюється новий вид здирницького ПЗ, яке за чотири дні встигло інфікувати понад 100 тис. комп'ютерів, причому кількість жертв невпинно зростає. На відміну від решти шифрувальників, новий шкодонос вимагає викуп не в біткойнах, а в юанях (110 юанів, приблизно $16), які жертва повинна перерахувати через платіжний сервіс WeChat Pay.

Шкідник, який отримав назву WeChat Payment, атакує виключно користувачів у Піднебесній. Крім шифрування файлів, він також здатний викрадати паролі до облікових записів на популярних китайських сайтах та соціальних мережах, у тому числі Alipay, NetEase 163, Baidu Cloud Disk, Jingdong (JD.com), Taobao, Tmall, AliWangWang та QQ, і збирати інформацію про інфіковану систему, включаючи модель процесора, відомості про дозвіл екрана та встановлені програми.

За даними експертів компанії Velvet Security, зловмисники впровадили шкідливий код у компілятор «EasyLanguage», який використовується великою кількістю розробників додатків. Шкідлива версія вбудовувала код здирника у всі програми, які компілювалися за її допомогою.

Виявившись на системі, здирник шифрує всі файли на пристрої, за винятком тих, що мають розширення .gif, .exe і .tmp. Для обходу антивірусів автори зловмисника підписали його цифровим сертифікатом Tencent Technologies. Крім того, з метою уникнення детектування здирник ігнорує папки Tencent Games, League of Legends, tmp, rtl та Program.

На виплату необхідної суми жертвам надається три дні. У разі відсутності оплати зловмисники загрожують видалити ключ дешифрування із сервера. Однак, як виявилося, користувачі можуть розшифрувати файли, оскільки копія ключа дешифрування зберігається локально на комп'ютері жертви.

Експертам вдалося отримати доступ до керуючого серверу та бази даних MySQL зловмисників, де вони знайшли тисячі облікових даних. Усю наявну інформацію дослідники передали правоохоронним органам Китаю для подальшого розслідування.