Специалисты компании SentinelLabs сообщили об обнаружении нового вымогательского ПО. Зловред носит имя Rook (по-английски это название шахматной фигуры «ладья») и, судя по всему, активен лишь с текущего месяца. Вымогатели уже создали в «темной сети» свой сайт для публикации данных жертв, которые откажутся от уплаты выкупа. На нем хакеры не без юмора и весьма откровенно обозначили свою цель: «нам ужасно нужно много денег».

Как отмечают специалисты SentinelLabs, вредоносное ПО создано на основе исходного кода известного зловреда-шифровальщика Babuk, который был опубликован в открытом доступе на киберпреступных форумах в сентябре нынешнего года. Об этом говорит, в частности, то, что Rook прибегает к тем же вызовам API для получения имен и определения статуса всех запущенных в системе служб. Список отключаемых зловредом служб и процессов Windows у Rook и Babuk также полностью идентичны. Rook устанавливается на системы посредством инструмента Cobalt Strike, который, в свою очередь, распространяется через фишинговые сообщения электронной почты и файлы на торрент-трекерах. Вредоносное ПО зашифровывает файлы, добавляя к ним расширение .Rook, удаляет теневые копии томов, чтобы предотвратить возможность восстановления данных, после чего полностью удаляется из системы.

На данный момент в списке жертв на сайте Rook фигурируют банк и индийская компания, работающая в авиакосмической отрасли. Уже сам выбор жертв говорит о серьезных амбициях вымогателей. Эксперты полагают, что со временем новый зловред может стать весьма серьезной угрозой.