Исследователи MalwareHunterTeam обнаружили нового шифровальщика — KimcilWare. Этот вредонос атакует не простых пользователей, а веб-серверы магазинов, работающих на базе Magento. Зашифровав всю информацию на сервере, KimcilWare подменяет главную страницу сайта сообщением «веб-сервер зашифрован» и требует за восстановление данных либо 1 BTC (немногим больше $400), либо просто $140.

Платформу Magento используют более 200 000 компаний по всему миру. Эксперты сообщают, что пока масштабы заражения KimcilWare малы – шифровальщик атаковал пару десятков магазинов. Впервые малварь заметили 3 марта 2016 года на сайте, работающем под управлением Magento 1.9.1.0. Позже шифровальщик также атаковал ресурсы, работающие на базе версии 1.9.2.4. Каким образом происходит заражение, специалисты пока не разобрались, возможно, злоумышленники эксплуатируют некую уязвимость в Magento. Один из пострадавших самостоятельно установил, что в его случае малварь попала в систему вместе с расширением Helios Vimeo Video Gallery.

Независимый исследователь, известный просто под именем Джек (Jack), предположил, что KimcilWare может быть основан на опенсорсном вредоносе Hidden Tear. Дело в том, что Джек обнаружил другого зловреда – MireWare, который требует, чтобы жертва связалась со злоумышленниками через адрес tuyuljahat@hotmail.com. Этот же email фигурирует в требовании выкупа KimcilWare. Подвергнув MireWare анализу, исследователь выяснил, что это клон Hidden Tear, после чего выдвинул предположение о том, что KimcilWare, возможно, тоже относится к данному семейству.

К сожалению, подробностей о KimcilWare  пока мало, хотя изучением вымогателя уже занимаются многие специалисты. К примеру, эксперт Лоренс Абрамс (Lawrence Abrams) рассказал на сайте Bleeping Computer, что шифровальщик использует блочный шифр Rijndael.

Компания Magento, в качестве меры предосторожности, уже заблокировала распространение расширения Helios Vimeo Video Gallery. Однако исследователи полагают, что KimcilWare лишь пока ориентируется на сайты под управлением Magento, а в теории вымогатель может атаковать и любые другие платформы.