Злоумышленник усовершенствовал программу-вымогатель Nokoyawa за счет повторного использования кода из общедоступных источников.
Большая часть добавленного кода была скопирована из кода программы-вымогателя Babuk ;
В записке с требованием выкупа изменен способ связи со злоумышленником. Теперь жертва должна связаться с киберпреступником через Onion URL c помощью браузера TOR. Раньше был указан только адрес электронной почты.
Теперь можно максимально увеличить количество зашифрованных файлов.
Для каждой жертвы оператор Nokoyawa генерирует пару ключей на основе ECC-криптографии (Elliptic Curve Cryptography), а затем встраивает открытый ключ в двоичный файл программы-вымогателя. Пару ключей можно рассматривать как «мастер-ключи» для расшифровки файлов при оплате выкупа.
Зашифрованные файлы добавляются с расширением .NOKOYAWA, а записка с требованием выкупа записывается в файл NOKOYAWA_readme.txt в каждом зашифрованном каталоге.
Onion URL ведет на страницу онлайн-чата для переговоров с оператором и оплаты выкупа. В ходе переписки злоумышленник предложил бесплатно расшифровать 3 файла в качестве доказательств, что киберпреступник может расшифровать все файлы жертвы.
На странице «Инструкции» указана сумма выкупа, которую можно заплатить в криптовалютах Bitcoin или Monero. По заявлениям оператора Nokoyawa, после оплаты злоумышленник предоставит инструмент для расшифровки файлов жертвы.
Ранее исследователи кибербезопасности обнаружили новую версию конструктора программ-вымогателей Chaos под названием Yashma , который может остановить работу антивирусного ПО и ПО для резервного копирования.
Источник: SecurityLab