Начиная с 13 января, Microsoft обнаружила новые атаки, в которых файл MBRLocker, содержащий вредоносное ПО, использовалось для преднамеренного уничтожения данных жертвы.

Microsoft называет это новое семейство вредоносных программ «WhisperGate» и поясняет в отчете, что оно разворачивается с помощью двух разных компонентов вредоносного ПО.

Первый компонент с именем stage1.exe запускается из папок C:\PerfLogs, C:\ProgramData, C:\ или C:\temp, перезаписывая основную загрузочную запись для отображения примечания о выкупе.

Блокировщик MBR — это программа, которая заменяет «основную загрузочную запись», место на жестком диске компьютера, содержащее информацию о разделах диска и небольшой исполняемый файл, используемый для загрузки операционной системы.

В примечании о выкупе от WhisperGate жертве предлагается отправить 10 000 долларов в биткойнах на адрес 1AVNM68gj6PGPFcJuftKATa4WLnzg8fpfv, а затем связаться с злоумышленниками через включенный идентификатор чата Tox.

Источник: secure news