Замаскированный под PayPal сайт распространяет вымогатель Nemty

Интернет-страница, замаскированная под официальный сайт PayPal, в настоящее время распространяет программу-вымогатель Nemty. Фейковая страница завлекает пользователей возможностью получить возврат 3-5% от покупок, сделанных через эту систему. Любой невнимательный пользователь, попавший на эту страницу, рискует заразить свое устройство этим вредоносом.

Исследователи полагают, что операторы Nemty тестируют различные каналы распространения этой угрозы. Чтобы установить ее в системе жертвы, киберпреступники используют набор эксплойтов RIG.
Почти все современные браузеры предупреждают пользователя о ненадежности ресурса, но зачастую уловка все равно срабатывает. На компьютер доверчивого пользователя загружается файл cashback.exe.

Эксперт в сфере инфобезопасности, известный под псевдонимом nao_sec, обнаружил описанный канал распространения вымогателя, после чего использовал среду для тестирования AnyRun, чтобы проанализировать активность зловреда в системе.

По результатам анализа вымогателю требуется порядка семи минут на весь процесс шифрования файлов, но показатель может незначительно отличаться от системы к системе.

К счастью, исполняемый файл шифровальщика детектирует большинство антивирусов. Судя по результатам VirusTotal, 36 из 68 антивирусов выявили угрозу.