Шифровальщик Syrk под видом чита для Fortnite

Киберпреступники пытаются нажиться на всем, что пользуется спросом. В том числе — на популярных играх. Зловреды нередко притворяются пиратской копией или мобильной версией игры, особенно если последняя еще не вышла официально.

Недавно в Сети появился вымогатель Syrk, который злоумышленники выдают за набор читов к Fortnite — игре, собравшей за два года 250-миллионную аудиторию. Авторы зловреда обещают игрокам два чита в одном: «аим» (aimbot, автоматический наводчик) и «вх» (он же WH или ESP, возможность видеть, где находятся другие игроки). На деле же зловред шифрует файлы жертвы и требует выкуп.

Как работает шифровальщик Syrk

Как выяснили исследователи из компании Cyren, Syrk — это копия шифровальщика с открытым кодом, в которой преступники практически ничего не изменили. Когда игрок запускает скачанный «чит», зловред первым делом пытается связаться с командным сервером и отключает программы, которые кажутся ему опасными:

• встроенный антивирус Windows;
• контроль учетных записей — систему, которая запрашивает разрешение пользователя на выполнение действий с правами администратора;
• приложения для мониторинга процессов, с помощью которых пользователь может обнаружить зловреда, — диспетчер задач, Process Monitor и Process Hacker.

Также шифровальщик прописывает себя в автозагрузку, чтобы пользователь не смог избавиться от него, просто перезапустив компьютер. А если к устройству подключены USB-диски, Syrk пытается распространиться и на них.

Вымогатель ищет на компьютере медиафайлы, текстовые документы, таблицы и презентации, ZIP- и RAR-архивы, файлы Photoshop и Microsoft Visual Studio, шифрует их и приписывает получившейся абракадабре расширение .SYRK. На экран зловред выводит записку с требованием выкупа, которую нельзя закрыть.

Syrk Ransomware seems inspired by a Fortnite Hacktool, terminates task manager, process hacker, really good at being persistent and annoying. Does encrypt but might still be in development. 30/67 in VThttps://t.co/x7Y6Tz4NB1 pic.twitter.com/6e9wI8XTQR

— Leo (@leotpsc) August 1, 2019

Текст на фоне маски Гая Фокса сообщает, что единственный способ восстановить файлы — связаться с вымогателями по электронной почте и заплатить им. Времени на это у жертвы мало: каждые два часа Syrk удаляет зашифрованные файлы: сначала в папке с изображениями, затем — на рабочем столе и напоследок в папке с документами.

Как восстановить файлы бесплатно

На самом деле платить вымогателям не нужно, даже если Syrk попал на ваш компьютер и взял в заложники ваши документы. Как выяснилось, текущая версия зловреда хранит ключ, необходимый для расшифровки файлов, прямо на зараженном компьютере. Его можно найти в папке C:UsersDefaultAppDataLocalMicrosoft в файле -pw+.txt или +dp-.txt.

Чтобы восстановить файлы:

• Скопируйте этот ключ.
• В окне с требованием выкупа нажмите кнопку Show My ID — откроется страница с вашим ID и надписью Enter the key to Decrypt your Files.
• Вставьте ключ в соответствующее поле и нажмите кнопку Decrypt my Files.

Программа сама восстановит зашифрованные картинки и документы, а затем создаст и запустит два исполняемых файла, которые удалят с компьютера все остальные компоненты зловреда.

Есть и другой способ спасти данные — правда, посложнее. Дело в том, что один из компонентов зловреда — дешифровщик, который восстановит документы, если вы сможете его извлечь и запустить. Удалять вымогателя в этом случае тоже придется вручную.

Как защититься от вымогателей

Исследователи отмечают, что и стертые шифровальщиком данные с большой вероятностью можно вернуть, однако для этого может потребоваться помощь специалиста. Что касается возможности восстановить документы с помощью сохраненного на компьютере ключа, то авторы зловреда со временем могут доработать его, чтобы лишить пострадавших возможности самостоятельно расшифровывать файлы. Поэтому лучше всего просто не дать зловреду нанести вам ущерб.

• Не скачивайте программы из неизвестных источников, даже если они обещают суперкрутые возможности в игре. Особенно если они обещают суперкрутые возможности.
• Делайте резервные копии файлов и храните их так, чтобы до них нельзя было добраться напрямую с вашего компьютера. Если используете внешний жесткий диск или флешку, подключайте их только на время бэкапа.
• Установите надежное защитное решение. Например, Kaspersky Internet Security определяет Syrk как вредоносный объект, а значит — не допустит его до ваших файлов, даже если вы попытаетесь его скачать или запустить.