StalinLocker удаляет файлы пользователя, если тот не введет правильный код

Специалисты MalwareHunterTeam и Bleeping Computer предупредили о появлении нового локера и вайпера, который получил название StalinLocker, так как демонстрирует пользователю портрет Сталина и проигрывает гимн СССР.

Исследователи рассказывают, что StalinLocker дает пользователю всего 10 минут на ввод кода, а после, если код не был введен, начинает стирать содержимое всех томов, которые обнаружит в системе.

Как осуществляется распространение малвари, специалисты не сообщают. Известно, что после заражения StalinLocker копирует себя в %UserProfile%AppDataLocalstalin.exe и прописывается в автозапуск как Stalin, после чего приступает к работе, блокирует экран и стирает все логи с зараженной машины. Также вредонос создает файл %UserProfile%AppDataLocalfl.dat, в который записывает текущее количество оставшихся секунд, поделенное на три. Таким образом, каждый раз когда пользователь запускает программу, время на таймере значительно уменьшается. Помимо этого, локер пытается ликвидировать все процессы, кроме Skype и Discord, завершает работу Explorer.exe и taskmgr.exe, а также пытается создать запланированную задачу Driver Update для запуска Stalin.exe, однако данная функциональность, по словам исследователей, пока изобилует багами.

StalinLocker дает своим жертвам 10 минут на ввод правильного кода. По данным MalwareHunterTeam, код – это разница между текущей датой выполнения программы и 1922.12.30 (вероятно, автор вредоноса имел в виду дату утверждения договора об образовании СССР). Если код введен верно, локер удалит себя из автозапуска и завершит работу.

Если же не ввести код, отсчет дойдет до нуля, а после этого StalinLocker предпримет попытку удаления все файлов из системы жертвы, последовательно перебирая буквы томов от A до Z.

Специалисты отмечают, что пока StalinLocker определенно находится в разработке и еще не завешен до конца, но, к сожалению, малварь доведена на функционального состояния и уже представляет угрозу для пользователей.