Недавняя версия приложения-вымогателя CryptXXX получила множество изменений, одним из наиболее важных стал новый модуль, способный красть пароли от различных приложений в инфицированной системе. Модуль называется Called StillerX и входит в состав CryptXXX 3.100, он был обнаружен компанией Proofpoint 26 мая.
Исследователи этой американской компании говорят, что среди всех новшеств последней версии CryptXXX именно StillerX представляет собой наибольшую опасность для пользователей.
StillerX работает как классическая программа типа Infostealer. Этот вид вредоносного ПО создан для атак на внутренние базы данных нескольких программных пакетов, извлечения паролей в зашифрованном виде или в виде простого текста, отправки их на удалённый сервер.
Модуль StillerX в CryptXXX способен работать с разнообразными видами приложений, такими как браузеры, менеджеры закачек, почтовые клиенты, FTP, программы мгновенного обмена сообщениями, клиентами прокси, VPN, паролями в кеше WNetEnum и Microsoft Credential Manager. Пользователи могут обнаружить модуль по наличию в системе файлов stiller.dll, stillerx.dll и stillerzzz.dll.
Proofpoint увидела в коде свидетельства того, что модуль StillerX может быть использован и автономно, не входя в состав CryptXXX. Другим изменением последнего стало обновление веб-сайта для дешифрования файлов новой графикой. Ранее интерфейс был таким же, как у вымогателя CryptoWall.
Также CryptXXX получил возможность искать сетевые диски и работать с файлами на них. Такое же умение в последнее время получили ряд других семейств приложений-вымогателей.
После появление CryptXXX в апреле лаборатория Касперского взломала версии CryptXXX 1.x и CryptXXX 2.x. Версия CryptXXX 3.100 в данный момент неуязвима.