Старый вымогатель ловит жертв на «клубничку»

Исследователи предупредили о вредоносной рекламе, отображаемой на некоторых сайтах «для взрослых».

Баннеры рекламируют квадрокоптеры и заражают системы жертв вымогательским ПО BandarChor. Новая версия вредоноса была обнаружена ИБ-экспертом Kafeine и проанализирована Лоуренсом Абрамсом (Lawrence Abrams) из Bleeping Computer и исследователем Malwareforme.

Оригинальный BandarChor относится к вымогательскому ПО первого поколения наряду с CTB-Locker, CryptoWall, TorrentLocker и TeslaCrypt. Впервые вредонос был обнаружен в ноябре 2014 года, и к 2016 году его активность постепенно снижалась. За два года тактика операторов BandarChor не изменилась – жертва по-прежнему должна связываться с ними по электронной почте, указанной в уведомлении с требованием выкупа.

Адрес help@decryptservice .info также используется в расширении, добавляемом к зашифрованным файлам. К примеру, по завершении процесса шифрования файл test.jpg будет переименован в test.jpg.id-1235240425_help@decryptservice .info. Как и прежде, для связи с C&C-сервером вредоносу необходимо интернет-подключение.

По словам исследователей, новая версия BandarChor представляет собой лишь незначительное обновление старого вымогательского ПО, умудрившегося выжить за все это время. Как отмечают эксперты, BandarChor удалось сохранить активность благодаря небольшому числу инфекций, позволившему ему долгое время оставаться в тени.