В конце прошлого года стала появляться первая информации о приложениях-вымогателях, созданных в стиле видеоигр Mortal Kombat. Спустя несколько месяцев жертвы получают возможность расшифровать свои файлы благодаря усилиям компании Bitdefender.
На этой неделе она выпустила бесплатный дешифратор. Пользователи могут применить его в автоматическом режиме. После загрузки дешифратора нужно использовать команду -help в командной строке, чтобы узнать, как запустить инструмент. Информация отображается в файле журнала, а не в консоли. Команда «start» автоматически запускает дешифратор без графического интерфейса.
Для указания пути к зашифрованным файлам необходимо использовать аргумент -scan-path. Команда -full-scan означает сканирование всей системы, игнорируя аргумент -scan-path. Пользователи могут отключить функцию резервного копирования файлов дешифратора командой -disable-backup. Ранее зашифрованные файлы можно заменить командой -replace-existing.
Исследователи из команды кибербезопасности Cisco Talos опубликовали отчёт о программе-вымогателе (которая является разновидностью вымогателя Xorist ещё 2010 года) в середине февраля. Злоумышленники распространяют его через фишинговые электронные письма под видом платежей с криптовалютной торговой платформы CoinPayments.
В письмах упоминаются просроченные криптовалютные платежи и есть вложения, похожие на номера транзакций CointPayments. Там и содержится вымогатель. После активации программа шифрует все файлы на компьютере, в том числе в виртуальных машинах и корзине. Попутно в качестве обоев в систему ставится изображение из игры Mortal Kombat 11.
После шифрования программа-вымогатель создает файл с расширением Remember_you_got_only_24_hours_to_make_the_payment_if_you_dont_pay_prize_will_triple_Mortal_Kombat_Ransomware. Далее жертвы увидят записку с требованием выкупа под названием «HOW TO DECRYPT FILES.txt».
Вымогатель также отключает команду run, повреждает проводник и удаляет содержимое из меню «Пуск». Загружается Laplas Clipper, заменяющий адреса криптовалютных кошельков в буфере обмена мошенническими имитациями, ведущими к кошелькам хакера. Большинство жертв были в Соединенных Штатах, но некоторые в Великобритании, на Филиппинах и в Турции, пишет Techspot.
