«Лаборатория Касперского» обнаружила новую вредоносную программу, нацеленную на вымогание денег у своих жертв: зловред CTB-Locker не относится ни к одному из известных ранее семейств и имеет ряд черт, позволяющих назвать его оригинальной разработкой.
На первый взгляд, общая схема работы шифровальщика довольно типична: троян добавляет свой исполняемый файл в список планировщика задач системы, после чего производит поиск файлов с определенными расширениями, осуществляет их шифрование и показывает пользователю требование выкупа. Изначально вредоносная программа была нацелена на англоязычных жертв, однако самые свежие образцы претерпели косметические доработки и получили поддержку русского языка.
Одной из особенностей CTB-Locker является полноценное взаимодействие с анонимной сетью Tor, в которой находится командный сервер злоумышленников. Причём код взаимодействия с Tor реализован непосредственно внутри вредоносной программы. Это позволяет ей пользоваться анонимной сетью без применения сторонних исполняемых файлов и запуска дополнительных процессов. В этом заключается принципиальное отличие нового трояна от других вредоносных программ, прибегающих к анонимности Tor: раньше злоумышленники пользовались легальным ПО от разработчиков Tor.
Кроме того, новый зловред отличается нестандартным подходом к шифрованию, с помощью которого дополнительно защищается соединение с командным сервером. В силу этого перехват отправляемой трояном информации, в частности уникального ключа, которым зашифрованы файлы, не поможет разблокировать данные пользователя.
Большинство попыток заражений CTB-Locker зарегистрированы на территории СНГ, также обнаружены единичные случаи на территории Германии, Болгарии, Израиля, ОАЭ и Ливии. Это позволяет предположить, что участие в разработке вредоносной программы принимали российские киберпреступники или, по крайней мере, выходцы из СНГ.
Более подробную информацию о трояне и особенностях его функционирования можно найти здесь.
Источник:
На первый взгляд, общая схема работы шифровальщика довольно типична: троян добавляет свой исполняемый файл в список планировщика задач системы, после чего производит поиск файлов с определенными расширениями, осуществляет их шифрование и показывает пользователю требование выкупа. Изначально вредоносная программа была нацелена на англоязычных жертв, однако самые свежие образцы претерпели косметические доработки и получили поддержку русского языка.
Одной из особенностей CTB-Locker является полноценное взаимодействие с анонимной сетью Tor, в которой находится командный сервер злоумышленников. Причём код взаимодействия с Tor реализован непосредственно внутри вредоносной программы. Это позволяет ей пользоваться анонимной сетью без применения сторонних исполняемых файлов и запуска дополнительных процессов. В этом заключается принципиальное отличие нового трояна от других вредоносных программ, прибегающих к анонимности Tor: раньше злоумышленники пользовались легальным ПО от разработчиков Tor.
Кроме того, новый зловред отличается нестандартным подходом к шифрованию, с помощью которого дополнительно защищается соединение с командным сервером. В силу этого перехват отправляемой трояном информации, в частности уникального ключа, которым зашифрованы файлы, не поможет разблокировать данные пользователя.
Большинство попыток заражений CTB-Locker зарегистрированы на территории СНГ, также обнаружены единичные случаи на территории Германии, Болгарии, Израиля, ОАЭ и Ливии. Это позволяет предположить, что участие в разработке вредоносной программы принимали российские киберпреступники или, по крайней мере, выходцы из СНГ.
Более подробную информацию о трояне и особенностях его функционирования можно найти здесь.
Источник:
Пт Май 12, 2017 9:09 pm автор Admin
» Шифровальщик CryptXXX 3.0 обезвредили!
Пт Дек 23, 2016 11:43 pm автор Admin
» Вымогатель Kangaroo блокирует пользователям доступ к Windows
Вт Ноя 29, 2016 12:41 am автор Admin
» Microsoft заявляет, что новую 0-day уязвимость в Windows используют хакеры из Fancy Bear
Ср Ноя 02, 2016 3:05 am автор Admin
» 360 Total Security 8.8.0.1083 [Multi/Ru]
Пн Окт 24, 2016 10:06 pm автор Admin
» SecureAPlus Freemium 4.3.3 [Multi/Ru]
Пт Окт 21, 2016 11:31 pm автор Admin
» GridinSoft Anti-Malware [Multi/Ru] - антивирусная утилита!
Пн Авг 15, 2016 12:54 am автор Admin
» Новый вариант трояна Kovter маскируется под обновления для Firefox
Пт Июл 08, 2016 4:14 am автор Admin
» Эксперт представил способ похищения данных через кулер компьютера
Пт Июн 24, 2016 5:24 am автор Admin