KeyPass — всеядный троян-шифровальщик

Зловред заражает компьютеры по всему миру, шифрует почти все файлы, а начинается все с «безобидного установщика».

Совсем недавно мы писали о том, как вместе с книжкой или модом для игры можно случайно скачать какую-нибудь пакость. Свежий пример не заставил себя ждать: именно таким способом распространяется новый шифровальщик KeyPass, активность которого мы наблюдаем в последние дни. Вы загружаете якобы безобидный инсталлятор, а он устанавливает на компьютер зловред.

KeyPass — весьма неразборчивый вымогатель. Он заражает устройства по всему миру и не имеет ни политических, ни расовых предпочтений. Всего за 1,5 дня — с вечера 8 по 10 августа — шифровальщик объявился в 20 с лишним странах. На момент написания статьи больше всего пользователей пострадало в Бразилии и Вьетнаме, однако жертвы есть и в Европе, и в Африке, а зловред продолжает покорять мир.

Пленных не брать, незашифрованных не оставлять

В выборе файлов-«заложников» KeyPass тоже непритязателен. Если многие шифровальщики предпочитают портить документы с определенными расширениями, то этот обходит стороной только несколько папок, обозначенных в его «черном списке». Все остальное содержимое компьютера он превращает в абракадабру с расширением .KEYPASS. На самом деле он шифрует файлы не целиком, а только первые пять мегабайт в самом начале каждого из них, но легче от этого не становится.

В «обработанных» директориях зловред оставляет записку в формате .TXT, в которой его авторы на не очень грамотном английском требуют приобрести специальную программу и индивидуальный ключ для восстановления файлов. Чтобы жертва могла убедиться, что не потратит деньги впустую, ей предлагают отправить злоумышленникам от одного до трех небольших файлов, которые те обещаются расшифровать бесплатно.

За возврат файлов злоумышленники хотят $300, однако отмечают, что эта цена действует только первые 72 часа после заражения. Чтобы получить подробные инструкции по выкупу своих документов, надо связаться с мошенниками по одному из двух email-адресов и сообщить им присвоенный вам ID, который также указан в записке. Впрочем, мы рекомендуем выкуп не платить.

Интересная особенность: если на момент начала работы зловреда компьютер по каким-то причинам не был подключен к Интернету, то KeyPass не сможет получить от командного сервера персональный ключ шифрования. Тогда он использует записанный прямо в коде программы ключ, то есть расшифровать файлы в этом случае можно без каких-либо проблем – за ключом далеко ходить не надо. В остальных случаях так легко не отделаться – несмотря на довольно простую реализацию шифрования, ошибок мошенники не допустили.

В известных нам случаях зловред действовал автоматически, однако его авторы предусмотрели возможность ручного управления. Они явно рассчитывают на то, что KeyPass можно распространять и вручную, то есть планируют использовать его для таргетированных атак. Если злоумышленник получает возможность подключиться к компьютеру жертвы удаленно и загрузить туда шифровальщик, то по нажатии специальной клавиши он может вызвать специальную форму. В ней он может поменять параметры шифрования, в том числе список папок, которые KeyPass не трогает, а также текст записки и индивидуальный ключ.

Как не бояться шифровальщиков

Поскольку программу для расшифровки файлов, попорченных вымогателем KeyPass, пока не разработали, то единственный способ от него защититься – не допустить заражения. Да и в любом случае проще сразу подстраховаться, чем потом долго и мучительно разгребать последствия – так тратится куда меньше сил и нервов. Поэтому мы рекомендуем несколько простых мер по защите от шифровальщиков, которые подходят в том числе и против KeyPass:

  • Не скачивайте неизвестные программы с сомнительных сайтов и не переходите по ссылкам, если они вызывают у вас хотя бы малейшие подозрения. Это поможет вам избежать большей части зловредов, гуляющих по Сети.
  • Обязательно делайте резервные копии важных файлов. О том, как, куда и как часто надо делать бекапы, вы можете узнать из вот этого поста.

Как правильно делать бэкапы

  • Пользуйтесь надежным защитным решением, которое распознает и заблокирует подозрительную программу прежде, чем она сможет нанести вред вашему компьютеру. Kaspersky Internet Security, например, содержат специальный модуль для борьбы с шифровальщиками.
Советы