Вымогатель Matrix вернулся

В сети появился старый, но очень опасный шифровальщик Матрикс, который  для своего распространения использует поддельные ярлыки.

В одной из недавних компаний EITest был снова замечен уже позабытый зловред, с ним столкнулся исследователь Palo Alto Брэд Данкан. По словам Брэда, он обнаружил его в эксплойт-пак RIG, хотя, ранее Matrix не мог похвастаться таким масштабным распространением, как шифровальщики Spora или Cerber.

В новом зловреде реализован функционал червя, теперь Матрикс может распространяться по сети, заражая другие компьютеры, для распространения он использует поддельные вредоносные ярлыки.

Первичное заражение происходит на взломанных сайтах, которые заражены скриптом EITest, как только пользователь переходит на такой сайт, на ПК пытается установится  эксплойт-пак iframe RIG. Эксплойт ищет уязвимости в программах и если их находит, пытается установить шифровальщика Матрикс.

Процесс распространения выглядит следующим образом. Попав на ПК жертвы, он сначала шифрует данные, а затем скрывает папку и создает ярлык с тем же именем, после чего он берет исполняемый фаил шифровальщика и сохраняет его как desktop.ini.

Например, он может взять папку «Документы», скрыть ее и создать поддельный ярлык. Ничего не подозревающий пользователь может зайти в эту папку и даже сохранить туда новые документы. Вроде все, как обычно, ничего подозрительного, но не тут-то было. В это время Матрикс берет файл desktop.ini, который является поддельным, и копирует его в %Temp%\OSw4Ptym.exe и запускает его на исполнение. Таким вот образом он может кочевать по сети, а так же заражать любые съемные носители.

В тексте выкупа преступники угрожают тем, что каждые 12 часов они будут увеличивать сумму выкупа на 100 долларов, а если пользователь не заплатит в течение 96 часов, фалы будут удалены с ПК.

Примечательно и то, что зловред постоянно контактирует с командным сервером, передавая на него статистику, а так же регулярно обновляется, это говорит о том, что этот зловред разрабатывается и скорее всего, будет и дальше использоваться