Не требующий выкупа вымогатель распространяется под видом обновлений Google

Новый вид программы-вымогателя под названием HavanaCrypt атакует пользователей Google. Как сообщили исследователи из Trend Micro, при попадании на устройство он маскируется под обновления Google Software Update.

Название шифровальщик получил из-за разрешения .havana, которое он добавляет к пострадавшим файлам. Однако от классических вымогателей он отличается важной особенностью — в нем нет традиционного файла с требованием выкупа. Его отсутствие натолкнуло исследователей на мысль, что вымогатель еще находится в стадии разработки.

Есть у программы и ряд других особенностей. Вычислить злоумышленника не представляется возможным, так как он использует в качестве командного сервера IP-адрес хостингового сервиса Microsoft. Для шифрования HavanaCrypt использует модули менеджера паролей с открытым исходным кодом. Он же используется и в Obfuscar — применяемом программой решении для обфускации.

При запуске программы встроенной антивирусной программе Windows Defender направляется инструкция по игнорированию угрозы. Программа также частично завершает рабочие процессы Microsoft SQL Server, MySQL, Microsoft Office и Steam, после чего удаляет бэкап.