- Регистрация
- 26.10.16
- Сообщения
- 2,233
- Онлайн
- 38д 4ч 33м
- Сделки
- 251
- Нарушения
- 0 / 0
Исследователи предполагают, что программа-вымогатель находится на ранних стадиях разработки, так как в ее коде были обнаружены отладочные сообщения. Кроме того, PolyVice оказалась крайне похожа на RedAlert, из-за чего специалисты выдвинули предположение, что эти программы разработаны одной и той же группировкой.
Дальнейшее расследование также показало, что кодовая база полезной нагрузки Vice Society для Windows использовалась для создания полезных нагрузок группировками Chily и SunnyDay.
Схема шифрования, используемая PolyVice, сочетает асимметричное и симметричное шифрование для надежного шифрования файлов. Вредонос использует квантово-устойчивый алгоритм NTRUEncrypt для асимметричного шифрования и алгоритма ChaCha20-Poly1305 для симметричного шифрования.
Вредонос использует функцию CreateThread для создания нескольких рабочих процессов и полагается на вызов WaitForMultipleObject для синхронизации с основным потоком. Основной поток и рабочие потоки используют порт завершения ввода-вывода для обмена данными.
PolyVice выборочно применяет прерывистое шифрование:
- Файлы размером менее 5 МБ шифруются полностью;
- Файлы размером от 5 МБ до 100 МБ шифруются частично:
- 5 МБ контента шифруется путем разделения на 2 части по 2,5 МБ. Первый фрагмент сверху и второй фрагмент снизу файла.
- Файлы размером более 100 МБ шифруются частично:
- 25 МБ контента делятся на 10 фрагментов по 2,5 МБ и распределяются через каждые 10% размера файла.