Выкуп в $1,5 млн. и возможность расшифровать несколько файлов авансом
https://www.securitylab.ru/upload/ib...208a535b7d.jpg
Злоумышленник усовершенствовал программу-вымогатель Nokoyawa за счет повторного использования кода из общедоступных источников.<ul><li>Большая часть добавленного кода была скопирована из кода программы-вымогателя Babuk ;</li>
</ul><ul><li>В записке с требованием выкупа изменен способ связи со злоумышленником. Теперь жертва должна связаться с киберпреступником через Onion URL c помощью браузера TOR. Раньше был указан только адрес электронной почты.</li>
</ul><ul><li>Теперь можно максимально увеличить количество зашифрованных файлов.</li>
</ul>Для каждой жертвы оператор Nokoyawa генерирует пару ключей на основе ECC-криптографии (Elliptic Curve Cryptography), а затем встраивает открытый ключ в двоичный файл программы-вымогателя. Пару ключей можно рассматривать как «мастер-ключи» для расшифровки файлов при оплате выкупа.
https://www.securitylab.ru/upload/im...nt-img(57).png
Зашифрованные файлы добавляются с расширением .NOKOYAWA, а записка с требованием выкупа записывается в файл NOKOYAWA_readme.txt в каждом зашифрованном каталоге.
https://www.securitylab.ru/upload/im...nt-img(58).png
Onion URL ведет на страницу онлайн-чата для переговоров с оператором и оплаты выкупа. В ходе переписки злоумышленник предложил бесплатно расшифровать 3 файла в качестве доказательств, что киберпреступник может расшифровать все файлы жертвы.
https://www.securitylab.ru/upload/im...nt-img(59).png
На странице «Инструкции» указана сумма выкупа, которую можно заплатить в криптовалютах Bitcoin или Monero. По заявлениям оператора Nokoyawa, после оплаты злоумышленник предоставит инструмент для расшифровки файлов жертвы.
Ранее исследователи кибербезопасности обнаружили новую версию конструктора программ-вымогателей Chaos под названием Yashma , который может остановить работу антивирусного ПО и ПО для резервного копирования.