Программа-вымогатель BlackCocaine

Исследователи Infosec обнаружили сложную вредоносную угрозу, которую использует недавно созданная киберпреступная группа. Хакеры работают под именем BlackCocaine, и это также обозначение, данное их вредоносному ПО. Угроза, возникшая в результате атаки на индийскую ИТ-компанию, была классифицирована как сложная программа-вымогатель.

Программа-вымогатель BlackCocaine написана с использованием языка Go и сброшена в виде исполняемого файла, упакованного UPX и предназначенного для 64-разрядных систем Windows. Перед запуском своей основной функции угроза выполняет серию тестов на защиту от виртуальных машин. Он также оснащен несколькими методами защиты от отладки, которые значительно усложняют анализ. Если все тесты пройдены успешно, BlackCocaine перейдет к перечислению файлов, хранящихся в взломанной системе, а затем зашифрует их с помощью комбинации криптографических алгоритмов AES и RSA.

Ко всем файлам, затронутым таким образом, будет добавлено расширение «.BlackCocaine» к их исходным именам в качестве нового расширения. По завершении процесса шифрования угроза доставит записку о выкупе в виде текстового файла с именем HOW_TO_RECOVER_FILES.BlackCocaine.txt.

У банды вымогателей BlackCocaine есть специальный веб-сайт, созданный как домен .top. С самого начала своей деятельности пользователи и организации должны скорректировать свои меры безопасности, чтобы учесть еще одного злоумышленника в области программ-вымогателей.