Эксперты «Лаборатории Касперского» обнаружили вирус-шифровальщик, получивший название Sodin, который требует выкуп в биткоинах, эквивалентный сумме 2500 долларов США.

Sodin использует уязвимость нулевого дня в Windows для повышения привилегий в зараженной ОС, а также использует для маскировки архитектурные особенности процессора, что нечасто встречается в вирусах подобного типа.

Sodin предположительно распространяется на черном рынке как RAAS (вымогательство-как-услуга, от англ. Ransomware-as-a-Service). Обычно при такой схеме единственный ключ для дешифровки файлов находится в распоряжении распространителей программы. Однако создатели Sodin оставили для себя лазейку, благодаря которой они имеют возможность расшифровывать файлы втайне от распространителей.

Кроме того, злоумышленники использовали редкую для программ-вымогателей технику «Небесные врата» (Heaven’s Gate), которая позволяет выполнять 64-битный код на 32-битных процессорах. Такое решение затрудняет анализ вредоносного кода программами-отладчиками и усложняет обнаружение этого шифровальщика защитными решениями.

Эксперты «Лаборатории Касперского» предполагают, что в большинстве случаев методы распространения вируса не предполагают каких-либо активных действий со стороны жертвы. Злоумышленники вычисляют серверы со слабой защитой и уязвимым программным обеспечением и незаметно для жертвы устанавливают вирус-шифровальщик в систему.
«Лаборатория Касперского» обнаружила новый вирус-шифровальщик Sodin