Специалисты «Лаборатории Касперского» сообщили о шифровальщике под названием Sodin, который использует уязвимость нулевого дня в Windows для повышения привилегий в заражённой системе и требует от пользователей выкуп в биткоинах, на сумму в размере $2500.
Старший антивирусный эксперт «Лаборатории Касперского» Фёдор Синицын пояснил: «Вымогатели остаются очень распространённой угрозой, хотя мы по-прежнему нечасто видим такие сложные разновидности этого типа зловредов и такую необычную технику – запуск 64-битного кода в 32-битном процессе, что усложняет анализ вредоносного кода, а также его обнаружение защитными решениями».
Sodin может распространяться по RAAS-модели (вымогатель-как-услуга), т.е. продаваться на чёрном рынке. При такой схеме единственный ключ для дешифровки файлов находится в распоряжении распространителей, однако обнаруженный «Лабораторией Касперского» зловред содержит лазейку, позволяющую его авторам расшифровывать файлы втайне от распространителей.
В большинстве случаев заражение не зависит от жертв: злоумышленники компрометируют серверы, на которых запущено уязвимое программное обеспечение, и незаметно устанавливают шифровальщика в систему. Эксперты предполагают, что в ближайшем будущем произойдёт всплеск числа атак Sodin – в его разработку вложено много ресурсов, и авторы шифровальщика захотят их окупить.