В сети появилось новое приложение-вымогатель, на сей раз написанное на языке программирования Python. Программа CryPy (сочетание слов crypt и Python) выделяется среди других присвоением уникального ключа каждому шифруемому файлу, что значительно усложняет процесс расшифровки.
Используется уязвимость системы управления контентом Magento, позволяющая применять скрипт PHP уязвимого сервера в Израиле, который является командным сервером CryPy. Этот сервер используется не только для атак вымогателя, но и для фишинговых атак с поддельными сообщениями от платёжной системы PayPal. Предположительно, родным языком авторов приложения является иврит.
CryPy состоит из двух файлов под названиями «boot_common.py» и «encryptor.py». Первый отвечает за фиксирование ошибок в системе Windows, второй является самим шифратором. При инфицировании системы отключается редактор реестра, диспетчер задач, командная строка и автозапуск. Вскоре после начинается процесс шифрования файлов пользователя.
Каждый файл получает собственный ключ шифрования. Разблокировка файлов выполняется программой дешифрования, которая находится на «секретном сервере». Каждые 6 часов один из файлов пользователей удаляется, чтобы они не затягивали с выплатой выкупа. Через 96 часов ключи удаляются и вернуть файлы будет невозможно. Лаборатория Касперского утверждает, что приложение находится на раннем этапе разработки и не способно зашифровать файлы: недавно злоумышленники переехали на новый сервер и не успели прописать его адрес в коде.