23 августа 2019

Шифровальщик Syrk под видом чита для Fortnite

Угрозы

Киберпреступники пытаются нажиться на всем, что пользуется спросом. В том числе — на популярных играх. Зловреды нередко притворяются пиратской копией или мобильной версией игры, особенно если последняя еще не вышла официально.

Недавно в Сети появился вымогатель Syrk, который злоумышленники выдают за набор читов к Fortnite — игре, собравшей за два года 250-миллионную аудиторию. Авторы зловреда обещают игрокам два чита в одном: «аим» (aimbot, автоматический наводчик) и «вх» (он же WH или ESP, возможность видеть, где находятся другие игроки). На деле же зловред шифрует файлы жертвы и требует выкуп.

Вымогатель, притворяющийся аим и вх читом для Fortnite

Как работает шифровальщик Syrk

Как выяснили исследователи из компании Cyren, Syrk — это копия шифровальщика с открытым кодом, в которой преступники практически ничего не изменили. Когда игрок запускает скачанный «чит», зловред первым делом пытается связаться с командным сервером и отключает программы, которые кажутся ему опасными:

  • встроенный антивирус Windows;
  • контроль учетных записей — систему, которая запрашивает разрешение пользователя на выполнение действий с правами администратора;
  • приложения для мониторинга процессов, с помощью которых пользователь может обнаружить зловреда, — диспетчер задач, Process Monitor и Process Hacker.

Также шифровальщик прописывает себя в автозагрузку, чтобы пользователь не смог избавиться от него, просто перезапустив компьютер. А если к устройству подключены USB-диски, Syrk пытается распространиться и на них.

Вымогатель ищет на компьютере медиафайлы, текстовые документы, таблицы и презентации, ZIP- и RAR-архивы, файлы Photoshop и Microsoft Visual Studio, шифрует их и приписывает получившейся абракадабре расширение .SYRK. На экран зловред выводит записку с требованием выкупа, которую нельзя закрыть.

Текст на фоне маски Гая Фокса сообщает, что единственный способ восстановить файлы — связаться с вымогателями по электронной почте и заплатить им. Времени на это у жертвы мало: каждые два часа Syrk удаляет зашифрованные файлы: сначала в папке с изображениями, затем — на рабочем столе и напоследок в папке с документами.

Как восстановить файлы бесплатно

На самом деле платить вымогателям не нужно, даже если Syrk попал на ваш компьютер и взял в заложники ваши документы. Как выяснилось, текущая версия зловреда хранит ключ, необходимый для расшифровки файлов, прямо на зараженном компьютере. Его можно найти в папке C:UsersDefaultAppDataLocalMicrosoft в файле -pw+.txt или +dp-.txt.

Чтобы восстановить файлы:

  • Скопируйте этот ключ.
  • В окне с требованием выкупа нажмите кнопку Show My ID — откроется страница с вашим ID и надписью Enter the key to Decrypt your Files.
  • Вставьте ключ в соответствующее поле и нажмите кнопку Decrypt my Files.

Программа сама восстановит зашифрованные картинки и документы, а затем создаст и запустит два исполняемых файла, которые удалят с компьютера все остальные компоненты зловреда.

Есть и другой способ спасти данные — правда, посложнее. Дело в том, что один из компонентов зловреда — дешифровщик, который восстановит документы, если вы сможете его извлечь и запустить. Удалять вымогателя в этом случае тоже придется вручную.

Как защититься от вымогателей

Исследователи отмечают, что и стертые шифровальщиком данные с большой вероятностью можно вернуть, однако для этого может потребоваться помощь специалиста. Что касается возможности восстановить документы с помощью сохраненного на компьютере ключа, то авторы зловреда со временем могут доработать его, чтобы лишить пострадавших возможности самостоятельно расшифровывать файлы. Поэтому лучше всего просто не дать зловреду нанести вам ущерб.

  • Не скачивайте программы из неизвестных источников, даже если они обещают суперкрутые возможности в игре. Особенно если они обещают суперкрутые возможности.
  • Делайте резервные копии файлов и храните их так, чтобы до них нельзя было добраться напрямую с вашего компьютера. Если используете внешний жесткий диск или флешку, подключайте их только на время бэкапа.
  • Установите надежное защитное решение. Например, Kaspersky Internet Security определяет Syrk как вредоносный объект, а значит — не допустит его до ваших файлов, даже если вы попытаетесь его скачать или запустить.