Bitcoin -вымогатель теперь распространяется через спам-кампании

Компании по безопасности McAfee Labs и Symantec выступили с предупреждениями о том, что в настоящее время посредством спам-кампаний распространяется вредоносное ПО CTB-Locker, требующее кражи биткоинов.

Вредоносное ПО, название которого расшифровывается как «Curve Tor Bitcoin Locker», было впервые обнаружено в прошлом году. Однако подход к распространению спама, по-видимому, является относительно новой разработкой.

McAfee опубликовал свойпоследняя рекомендацияна прошлой неделе, описывая CTB-Locker как форму вымогателя, который шифрует файлы на целевом компьютере. Отдельные свидетельства говорят о том, что файлы изображений .jpg являются частой целью. Затем жертва должна заплатить выкуп, чтобы расшифровать файлы.

Symantec сообщила в недавнем блоге:

что процесс борьбы с вредоносным Криптo ПО «особенно сложен».

Как это работает

После установки CTB-Locker внедряет вредоносный код в файл «svchost.exe», создавая запланированную задачу для перемещения и шифрования файлов.

Вредоносная программа шифрует взломанные файлы с помощью эллиптического кривого шифрования, что, по-видимому, эквивалентно шифрованию RSA с 3072- BIT ключом.

После завершения шифрования пользователь информируется об атаке посредством всплывающего сообщения с требованием выкупа.

Сообщение отображает 96-часовой обратный отсчет. Если пользователь не заплатит выкуп в Bitcoin в течение 96 часов, ключ дешифрования будет уничтожен, а файлы останутся навсегда зашифрованными.

Всплывающее окно позволяет пользователю увидеть список зашифрованных файлов, а также информацию о том, как произвести оплату и получить код дешифрования.

Векторы обнаружения, заражения и распространения

McAfee обнаруживает CTB-Locker под тремя разными именами: BackDoor-FCKQ, Downloader-FAMV и Injector-FMZ. Symantec идентифицирует конечную полезную нагрузку как Trojan.Cryptolocker.E.

Вредоносное ПО распространяется через спам-кампании в виде .zip-архива, хранящегося внутри другого .zip-файла. Сжатый файл содержит загрузчик для CTB-Locker.

На данный момент исследователи обнаружили следующие имена, используемые для хранения загрузчика:

• неправильно сформированный.zip
• полнота.zip
• запросы.zip
• симонияк.zip
• фалтбот.zip
• неизлечимо.zip
• полезные нагрузки.zip
• десятина.zip

Помимо стандартных надежных мер безопасности (например, не открывать файлы .zip из ненадежных источников), компания McAfee опубликовала ряд рекомендаций по снижению угрозы с помощью продуктов McAfee.

Блог Symantec также предлагает полезную информацию о CTB-Locker для пользователей продуктов безопасности Symantec.

Если жертвы не хотят или не могут заплатить выкуп, то практически нет возможности восстановить зашифрованные файлы. Лучший способ уменьшить влияние потенциальной атаки Криптo вымогателя — регулярное резервное копирование ценных файлов.

Всплывающее окно CTB-Lockerизображение через Symantec;Спам-изображениечерез Shutterstock.