Шифровальщик использует уязвимость в Windows и требует выкуп в биткойнах

Вымогатели остаются очень распространённой угрозой, хотя мы по-прежнему нечасто видим такие сложные разновидности этого типа зловредов и такую необычную технику — запуск 64-битного кода в 32-битном процессе, что усложняет анализ вредоносного кода, а также его обнаружение защитными решениями, — рассказывал старший антивирусный эксперт «Лаборатории Касперского» Фёдор Синицын.

Sodin может распространяться по RAAS-модели (вымогатель-как-услуга), т.е. продаваться на чёрном рынке. При такой схеме единственный ключ для дешифровки файлов находится в распоряжении распространителей, однако обнаруженный «Лабораторией Касперского» зловред содержит лазейку, позволяющую его авторам расшифровывать файлы втайне от распространителей.

В большинстве случаев заражение не зависит от жертв: злоумышленники компрометируют серверы, на которых запущено уязвимое программное обеспечение, и незаметно устанавливают шифровальщика в систему.