fbpx
Январь 29, 2020 4:57 | Alexandr Kim |
  • Он имеет возможость просматривать учетные данные пользователей из браузеров Internet Explorer, Firefox и Chrome, а также почтовых клиентов Thunderbird и Outlook.
  • Вредоносная программа обретает персистентность через ярлык в папке автозапуска, который выполняется при перезагрузке.

Группа исследователей сообщила, что FTCode Ransomware теперь оснащен браузером и функциями кражи паролей по электронной почте.

 

О новой версии

Жертвы вымогателей FTCode пострадают еще больше.

Не смотря на то, что это семейство вымогателей, вирус шифрует данные, ко всему прочему, зловред PowerShell добавил функции для утечки учетных данных пользователей из обычных веб-браузеров и почтовых клиентов.

FTCode версия 1117.1 вымогателей крадет учетные данные из пяти популярных браузеров и почтовых клиентов. Он может просматривать учетные данные пользователей из Internet Explorer, Firefox и Chrome, а также почтовых клиентов Thunderbird и Outlook.

В новой версии используются различные методы для кражи учетных данных в каждом из целевых приложений.

 

Как это устроено?

Заражение начинается со спам-писем, содержащих вредоносные документы с макросами и, в последнее время, со ссылками на VBScripts.

Как только пользователь выполняет сценарий VBScript, зловред развертывает FTCODE на основе PowerShell, замаскированный под ложный образ .JPEG, в папке Windows% temp%.

Основная системная информация затем собирается и отправляется на ожидающий командно-контрольный сервер (C2).

Украденные данные шифруются с помощью base64 и отправляются через запрос HTTP POST.

Все заблокированные файлы имеют расширение .FTCODE, а каждая папка получает примечания с выкупом READ_ME_NOW.htm.

 

Расшифровка не гарантируется

Хакеры обычно требуют 500 долларов выкупа, чтобы доставить расшифровщик. Тем не менее, были сообщения о том, что жертвы платили выкуп и не получали расшифровщик, как отметил один из пользователей в Twitter .

 


На нашем сайте мы используем файлы cookie, чтобы сделать вашу работу наиболее комфортной. Продолжая пользоваться нашим сайтом, не меняя настроек, вы тем самым выражаете согласие на использование нами данных файлов. Более подробно вы можете почитать о них в разделе Политики конфиденциальности.