Имитация вымогателя WannaCry нацелилась на российских игроков в Enlisted

Русскоязычные игроки шутера Enlisted являются целью атаки псевдо программы-вымогателя WannaCry. К такому выводу пришли исследователи Cyble.

Enlisted — игра, которая была официально выпущена Gaijin Entertainment в 2021 году. Количество активных игроков ежемесячно составляет от 500 тысяч до миллиона человек. Игра бесплатная, что позволило злоумышленникам без особых сложностей скачать установочные файлы и модифицировать их, распространяя среди пользователей версию с трояном внутри.

Внутри зараженной версии исследователи обнаружили неизвестный ранее вариант известной программы-вымогателя WannaCry. Формат зашифрованных файлов меняется на .wncry.

Эксперты отмечают, что имитация WannaCry выбрана неслучайно. Вероятно, таким образом злоумышленники хотят дополнительно напугать пользователей известным названием и быстрее получить выкуп.

Зараженный файл на фейковом сайте игры имеет название "enlisted_beta-v1.0.3.115.exe«, после его скачивания на диске пользователя появляется два новых файла. В "ENLIST~1« содержится сама игра, а в "enlisted« — программа-вымогатель. Перед установкой программа запускает мьютекс на устройстве пользователя. 

Для шифрования используется алгоритм AES-256. При этом шифровальщик не предпринимает попыток прервать стандартные процессы на устройстве пользователя, однако удаляет резервные копии из Windows, чтобы предотвратить быстрое восстановление поврежденных файлов.