Вредонос шифрует файлы на пострадавших ресурсах и требует выкуп для восстановления доступа к информации.
Команда исследователей Malware Hunter Team совместно с ИБ-специалистом компании Bleeping Computer Лоренсом Абрамсом (Lawrence Abrams) обнаружила новый вид вымогательского ПО. Вредонос KimcilWare шифрует файлы на сайтах под управлением CMS Magento.
В настоящее время существует две версии KimcilWare. Одна добавляет к зашифрованным файлам расширение .kimcilware и создает в корневой директории сайта страницу “index.html”. Для расшифровки данных администратор пострадавшего ресурса должен выплатить злоумышленникам $140. Другая версия вредоноса добавляет к зашифрованным файлам расширение .locked и требует выплаты 1 биткоина (порядка $415) для восстановления доступа к информации.
По словам Абрамса, для шифрования файлов вредонос использует криптографический алгоритм AES. В настоящее время способов восстановления данных не существует, для расшифровки файлов жертве придется пойти на условия злоумышленников.
По данным VirusTotal, в настоящее время KimcilWare распознается лишь двумя антивирусами. По словам специалистов Malware Hunter Team, вредонос может поражать сайты на других платформах.
Способ инфицирования web-сайтов на данный момент остается неизвестным. Возможно, вредонос распространяется под видом легитимных расширений для Magento. По словам администратора одного из пострадавших ресурсов, инфицирование сайта произошло сразу после установки расширения Helios Vimeo Video Gallery.