Ένα νέο malware που ονομάζεται StalinLocker ή StalinScreamer, ανακαλύφθηκε από την MalwareHunterTeam, το οποίο σας δίνει 10 λεπτά για να εισάγετε έναν κωδικό αλλιώς προσπαθεί να διαγράψει τα περιεχόμενα των σκληρών δίσκων στον υπολογιστή σας.
Το νέο malware, φαίνεται ότι είναι σε αρχικά στάδια και προβλέπεται να εξελιχθεί περαιτέρω από τους κατασκευαστές του. Όταν ενεργοποιηθεί θα εμφανίσει μία screensaver οθόνη που δείχνει τον Στάλιν, ενώ ταυτόχρονα θα παίζει τον ύμνο της ΕΣΣΔ. Επίσης στην οθόνη εμφανίζεται μία αντίστροφη μέτρηση που μετράει τον εναπομείναντα χρόνο που έχετε μέχρι να δώσετε ένα σωστό κωδικό. Αν ο κωδικός αυτός δεν δοθεί τότε το malware προσπαθεί να διαγράψει όλους τους σκληρούς δίσκους του συστήματός σας.
Συγκεκριμένα, όταν ενεργοποιηθεί ο StalinLocker θα εκτελέσει τις ακόλουθες ενέργειες:
1. Εξαγάγει το το αρχείο ήχου “USSR_Anthem.mp3” στο φάκελο %UserProfile%\AppData\Local και το αναπαραγάγει. Πρόκειται για ένα ύμνο, ίδιο με αυτό που ακούγεται σε αυτό το βίντεο στο YouTube, αλλά με πολύ χειρότερη ποιότητα.
2. Αντιγράφει το %UserProfile%\AppData\Local\stalin.exe και δημιουργεί ένα autorun αρχείο που ονομάζεται “Stalin” το οποίο ξεκινά το screenlocker / wiper όταν ο χρήστης συνδέεται στον υπολογιστή.
3. Δημιουργεί το αρχείο %UserProfile%\AppData\Local\fl.dat το οποίο τρέχει το εναπομείναντα χρόνο σε δευτερόλεπτα διαιρούμενο με 3. Έτσι κάθε φορά που ξεκινάτε το πρόγραμμα, η αντίστροφη μέτρηση είναι σημαντικά μικρότερη.
4. Προσπαθεί να τερματίσει τις processes (διεργασίες) που ήδη τρέχουν.
5. Τερματίζει τα Explorer.exe και taskmgr.exe.
6. Προσπαθεί να δημιουργήσει μια προγραμματισμένη εργασία που ονομάζεται “Driver Update” (Ενημέρωση προγράμματος οδήγησης) για την εκκίνηση του Stalin.exe. Αυτό το τμήμα του κώδικα έχει λάθη.
Στη συνέχεια, το StalinLocker θα εμφανίσει την οθόνη κλειδώματος που υπάρχει στην φωτογραφία της αρχής αυτού του άρθρου, η οποία περιέχει μία αντίστροφη μέτρηση 10 λεπτών, που μετράει τον χρόνο μέχρι να διαγραφούν τα αρχεία σας εκτός και αν εισάγετε έναν κωδικό. Σύμφωνα με το MalwareHunterTeam, αυτός ο κώδικας είναι ουσιαστικά το νούμερο που προέρχεται αν αφαιρέσετε την τρέχουσα ημερομηνία εκτέλεσης του προγράμματος μέχρι την ημερομηνία 1922-12-30. Εάν ο χρήστης εισαγάγει τον σωστό κωδικό, το wiper θα διαγράψει το autorun.
Από την άλλη πλευρά, εάν δεν εισαχθεί ο κωδικός πριν η αντίστροφη μέτρηση φτάσει στο μηδέν, το screenlocker θα προσπαθήσει να διαγράψει όλα τα αρχεία για κάθε γράμμα των μονάδων που βρίσκονται στον υπολογιστή. Αυτό επιτυγχάνεται με τη μετάβαση σε όλα τα γράμματα μονάδας δίσκου από το Α μέχρι το Ζ και τη διαγραφή αυτών που είναι προσβάσιμα, όπως φαίνεται παρακάτω.
Αυτό το malware φαίνεται ότι βρίσκεται σε εξέλιξη, αλλά ευτυχώς, οι περισσότεροι προμηθευτές ασφάλειας το έχουν εντοπίσει και έχουν ενημερώσει τα αντίστοιχα προγράμματά τους.