CTB-Locker - нова модифікація трояна-шифровальщика FileCoder

Ми вже кілька разів писали про різні сімейства троянів-шифрувальників. Мова йде про модифікаціях сімейства шкідливих програм FileCoder, а також здирника Win32/Virlock. Кілька днів тому наша антивірусна лабораторія почала отримувати повідомлення про шкідливої кампанії, спрямованої на користувачів Латинської Америки та Східної Європи. Фішингові повідомлення електронної пошти містили інформацію про «прибулому факсі». Вкладення таких повідомлень містили шкідливе ПЗ, яке спеціалізується на шифрування файлів користувача та вимогу викупу за розшифровку в биткоинах.



Приклад такого шкідливого повідомлення показаний нижче на скріншоті.



У цьому пості ми розглянемо шкідливу кампанію з поширення цієї шкідливої програми, яка отримала поширення в Польщі, Чехії, Мексиці та багатьох інших країнах.



Як ми згадували вище, основним вектором поширення CTB-Locker є фішингове повідомлення електронної пошти. Шкідливий виконуваний файл, який знаходиться у вкладенні до листа виявляється AV-продуктами ESET як Win32/Trojan.Elenoocka.A. Цей завантажувач (або даунлоадер) завантажує на комп'ютер користувача згадувану вище модифікацію FileCoder (CTB-Locker). Ця модифікація виявляється як Win32/FileCoder.DA. Після запуску цієї шкідливої програми файлу на диску шифруються.



Сам CTB-locker схожий на інший відомий шифрувальник під назвою CryptoLocker. Відмінність між ними полягає у використанні різних алгоритмів шифрування файлів. Результат діяльності CTB-locker аналогічний CryptoLocker або TorrentLocker, тобто призводить до шифрування файлів з розширеннями mp4, .pem, .jpg, .doc, .cer, .db. Після того, як операція шифрування файлів буде завершена, шкідлива програма відображає попередження користувачу. Для цієї мети CTB-locker може персоналізувати робочий стіл користувача, тобто поміняти там шпалери на нижченаведені.



Вимагач підтримує відображення тексту на різних мовах, включаючи, німецька, голландська, італійська, англійська. У списку мов відсутня іспанська, хоча ми спостерігали зараження цією шкідливою програмою і в тих країнах, для яких ця мова є основним.

CTB-Locker відрізняє той факт, що зловмисники використовують спеціальний метод для переконання користувача сплатити викуп. Вони демонструють йому, що станеться після його оплати, тобто переконують користувача у тому, що його не обдурять і розшифрують файли.





Після цього користувачеві буде продемонстровано, яким чином він зможе розшифрувати файли і на який рахунок йому потрібно буде перевести биткоины для цього.



Як видно на скріншоті вище, CTB-Locker може демонструвати курс обміну биткоинов виходячи з тієї валюти, яка відповідає розташуванню заблокованого комп'ютера. На момент зняття скріншота вісім биткоинов стояли $1680.

З технічної точки зору, сам даунлоадер вимагача, який виявляється як Win32/Trojan.Elenoocka.A, представляє із себе досить невелику за розмірами і просту з технічної точки зору шкідливу програму. Ми спостерігали використання цього даунлоадера зловмисниками і в інших шкідливих кампаніях. В одній з цих кампаній використовувалися фішингові повідомлення електронної пошти, до яких додавалися шкідливі файли з назвами invoice_%YEAR_%MONTH_%DAY-1%HOUR_%MIN.scr (напр. invoice_2015_01_20-15_33 .scr). Для маскування свого запуску у системі, виконуваний файл містить у себе в ресурсах фальшивий документ Word, який буде показаний користувачеві тлі виконання шкідливого файлу.

Шкідливе ПО CTB-Locker відноситься до того типу здирників, після діяльності якого неможливо розшифрувати файли без ключа, отриманого від зловмисників. Як ми вже неодноразово підкреслювали, використання резервного копіювання є основним методом, який може використовуватися для відновлення даних після діяльності такого шкідливого ПО, крім цього своєчасне оновлення антивірусних баз також є необхідним заходом для запобігання зараження.

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.