Вирусы-шантажисты требуют биткоины и подрабатывают майнингом монеро

В июле прошлого года профессор Корнелльского университета Эмин Гюн Сир написал в твиттере о новой разновидности вредоносного ПО, используемого для шантажа ничего не подозревающих жертв. Злоумышленники утверждали, что получили доступ к камере их компьютера или ноутбука и тайно засняли некоторые пикантные моменты интимного характера. Грозя разоблачением, они требовали выкуп в биткоинах.

Этот вирус потом назвали "Спаси себя" ('Save Yourself'), потому что жертвы зачастую получали электронные сообщения с фальшивыми угрозами разоблачения с адреса, содержащего эту фразу, например, saveyourself@xyzabc.com.

Однако вирус Save Yourself оказывается еще и подрабатывал скрытым майнингом на устройстве жертвы. Это выяснили эксперты по кибербезопасности в компании Reason Security.

Мытарства жертвы, как правило, начинались с электронного письма, в котором сообщалось, что их устройство заражено опасным вирусом. На самом деле, зачастую никакого вируса не было, но злоумышленники пользовались тем, что у большинства пользователей нет надежного способа разоблачить этот блеф.

Основная задача вредоносного ПО заключается в том, чтобы превратить компьютер пользователя в прокси-сервер для шантажа. Однако исследователи из Ranson Security обнаружили, что оно выполняет еще одну функцию, выступая также в качестве скрытого майнера.

В частности, Save Yourself устанавливает на машину жертвы скрипт, который начинает добывать Monero (XMR), криптовалюту, ориентированную на сохранение анонимности пользователей. Этот вирус потребляет до 50% мощности компьютера. Это затормаживает работу, но не настолько, чтобы вызвать серьезные подозрения в скрытом майнинге.

Все добытые монеты отправляются на кошелек злоумышленника.

Кроме того выяснилось, что этот вирус может считывать данные из буфера обмена и перехватывать сведения о биткоин-транзакциях. Затем он запускает специальный скрипт, который меняет адрес получателя, указанный в транзакции, на адрес кошелька злоумышленника.

Кроме того, Save Yourself также поражает большинство исполняемых файлов на целевой машине, что облегчает его распространение и автоматическое заражение.

Эксперты по кибербезопасности рекомендуют получателям писем с вымогательствами не принимать угрозы всерьез. Имеющиеся факты указывают на то, что хакеры не могут записывать активность жертв на порносайтах и не имеют удаленного доступа к веб-камерам пораженных машин.

Таким образом, в большинстве случаев лучше всего просто игнорировать подобные письма. Не стоит паниковать, даже если электронное письмо содержит пароль, который вы ранее использовали (или все еще используете). Скорее всего, он был скомпрометирован во время другой кибератаки и все это время спокойно хранился в закоулках дарквеба. В этом случае вам нужно изменить пароль и активировать двухфакторную авторизацию везде, где только можно.

Настоящая опасность находится на технической стороне, поскольку вирус способен нанести серьезный вред устройству, если ему удатся пробить защитные его механизмы. Однако есть и хорошая новость: большинство современных антивирусных программ способны обнаружить и обезвредить этот вирус.

Между тем есть неподтвержденные сообщения о том, что злоумышленники недавно переключились на Litecoin в качестве предпочитаемой монеты выкупа, чтобы избежать пометки почтовыми фильтрами.

По некоторым оценкам, около 100 тыс. пользователей интернета уже стали жертвами вируса Save Yourself. Если вам доводилось сталкиваться с Save Yourself или подобными кибератаками, поделитесь своим опытом в комментариях.

Еще больше новостей на beincrypto.ru