Вірус-вимагач CryptoBot здає своїх жертв через Twitter

image

Віруси-вимагачі, які шифрують файли користувачів, вимагаючи грошей за розшифровку, тероризують Інтернет вже не перший рік. Проте в нинішньому жовтні вони не на жарт розбушувалися — очевидно, зробивши новий еволюційний стрибок в області автоматизації. На початку місяця масовому зараженню криптолокером піддалися співробітники найбільшої австралійської телерадіомовної компанії ABC, а також поштові та інші державні служби країни. В середині місяця більше 100 тис. американців були заражені вірусом-шифрувальником через рекламні банери, крутившиеся в роликах на YouTube.

Ну а в останні дні жовтня трапилася активізація небезпечного шифровальщика в російському сегменті Інтернету. Користувачі отримують поштою шкідливий DOC-файл, який представляє собою обфусцированный JavaScript розміром 2.5 кб (MD5 ea834605f6bee2d4680aae0936655a30). При запуску троян завантажує з Інтернету і запускає додаткові компоненти:

image

Опис вірусу присутній на Virustotal, там же в коментарях наводиться і деобфусцированная версія скрипта. Можна помітити, що файл неодноразово завантажувався на ресурс 29 і 30 жовтня 2014 р:

image

А ось як виглядають імена заражених файлів, що приходять в пошті — в основному вони зображують ділові документи, причому нібито перевірені антивірусом (Avast.Scanned.OK)

image

Після того, як користувач відкриє прикладений файл і запустить шкідливий скрипт, його інформують про те, що його документи, фото, бази даних, а також інші важливі файли шифруються з використанням криптостойкого алгоритму RSA-1024».

image

Далі користувачеві пропонується докладна інструкція з порятунку своїх цифрових активів, яка зводиться до такого набору дій:

  1. Ваші файли зашифровані. Надішліть нам листа з KEY і UNIQUE протягом доби.
  2. Знайшли KEY.PRIVATE і UNIQUE.KEY на своєму ПК, взяли кілька зашифрованих файлів — відправили на пошту paycrypt@gmail.com

  3. Через деякий час отримаєте відповідь з гарантіями, інструкцією і вартістю. Відвідайте наш Twitter. Подивіться, що всі отримують ключі. Після оплати отримуєте ключ дешифрування, та інструкцію по дешифрованию.

Найбільш цікавим у цій інструкції є пункт 3, в якому зазначено Twitter-аккаунт, публічно разглашающий інформацію про адреси електронної пошти жертв атак. Це не тільки дозволяє продовжувати монетизацію (наприклад, з допомогою розсилки спаму на адреси жертв, частина з яких вказувало службові адреси електронної пошти), але може і завдати істотної шкоди репутації потерпілих.

Зокрема, деякі дослідники вже зайнялися аналізом списку жертв — серед них виявилося багато IT-компаній, включаючи і такі, які самі займаються інформаційною безпекою.

Як і в більшості атак по електронній пошті, в даному випадку використовувалися версії шкідливого ПО, яке в момент атаки не детектировалось більшістю антивірусів. У зв'язку з цим експерти Positive Technologies радять не відкривати листи з незрозумілими вкладеннями — навіть від знайомих адресатів. А на інфраструктурному рівні, на додаток до антивірусним рішенням, рекомендується застосовувати спеціалізовані пісочниці для перевірки вхідної пошти, а також обмежити отримання поштових повідомлень, що містять виконуваний код, у тому числі в архівах.

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.