Вирус-вымогатель WannaCry, похожий на него, нацеливается на смартфоны Android

Вариант WannaCry шифрует файлы на внешнем хранилище смартфонов Android

Похоже, что вирус-вымогатель WannaCry стал источником вдохновения для многих мошенников по всему миру. Мы недавно сообщали о том, как 14-летний подросток из Японии, впечатленный вредоносным ПО, был арестован на прошлой неделе за разработку вредоносного ПО, похожего на WannaCry.

Теперь киберпреступники в Китае разработали вирус-вымогатель для Android, который использует аналогичную графику WannaCry и обманывает пользователей, заставляя их быстро платить выкуп.

Для тех, кто не в курсе, вирус-вымогатель WannaCry использовал уязвимость в операционной системе Windows от Microsoft и заразил более 300,000 компьютеров в 150 странах за 72 часа в прошлом месяце. Вирус-вымогатель WannaCry зашифровал данные и требовал оплату в виртуальной валюте Bitcoin в обмен на пароль для разблокировки данных.

Первоначально обнаруженный китайской компанией по безопасности Qihoo 360 и названный “WannaLocker” компанией Avast, этот аналогичный вариант вируса-вымогателя WannaCry в настоящее время нацеливается на пользователей Android, проживающих в Китае. Хакеры распространяют этот вирус-вымогатель через китайские игровые форумы, где он замаскирован под плагин для King of Glory, очень популярной мобильной игры в Китае.

Как работает вредоносное ПО?

После установки этого поддельного дополнения на устройство, вирус-вымогатель WannaLocker скрывает свой значок приложения из меню приложений и меняет основной фон на зараженном устройстве на изображение аниме. Затем он начинает шифровать файлы, хранящиеся на внешнем хранилище зараженного устройства.

Вирус-вымогатель использует шифрование AES для блокировки файлов (см. код ниже). Чтобы предотвратить повреждение и сбой операционной системы Android, он не шифрует файлы, которые начинаются с “.”, или файлы, которые включают “DCIM”, “download”, “miad”, “android” и “com.” в пути, или файлы, которые больше 10 КБ.

После завершения процесса шифрования он требует выкуп даже меньше, чем Simplocker, и использует сообщение о выкупе, явно вдохновленное заметкой WannaCry, чтобы раскрыть свои требования.

Николаос Хрисайдос, глава отдела мобильной разведки угроз и безопасности в Avast, объясняет больше в блоге:

“Вирус-вымогатель затем требует выкуп в размере 40 китайских юаней, что эквивалентно примерно 5-6 долларам США. Это немного по сравнению с тем, что требовали другие мобильные вирусы-вымогатели в прошлом. Тот факт, что выкуп требует обычной валюты, а не криптовалют, заставляет меня думать, что люди, стоящие за этим, пытаются быстро заработать деньги. Однако это рискованно, так как деньги можно легко отследить, в отличие от отправки криптовалют.”

Жертвы вируса-вымогателя получают инструкции по оплате выкупа в обычной валюте с использованием китайских методов оплаты, таких как QQ, Alipay и WeChat.

Неаккуратное обращение с выкупом предполагает, что это может быть работа любительского хакера или группы хакеров. В результате это лишь вопрос времени, когда китайские власти выяснят, кто стоит за вирусом WannaLocker и кто получает выкуп.

Вот совет по безопасности от Avast для пользователей Android:

Чтобы защитить свой телефон и ценные фотографии, видео, контакты, хранящиеся на нем, от вирусов-вымогателей, убедитесь, что вы часто создаете резервные копии своих данных и устанавливаете антивирус на все свои устройства.

Кроме того, пользователи Android должны воздерживаться от загрузки приложений на любых рынках приложений, кроме Google Play. В случае, если вы станете жертвой атаки на основе выкупа, не поддавайтесь требованиям выкупа и вместо этого ищите профессиональную помощь.

На прошлой неделе компания Check Point, онлайн-компания по безопасности, обнаружила вредоносное ПО под названием “Fireball”, созданное китайской рекламной корпорацией Rafotech, которое берет под контроль веб-браузер пользователя и генерирует ложные клики на рекламу и продвижения для своих клиентов в Интернете. Вредоносное ПО затронуло более 250 миллионов компьютеров по всему миру, причем Индия пострадала больше всего.

Источник: IBT