Bitcoin вимагач зараз поширюється через спам-кампанії

Охоронні фірми McAfee Labs і Symantec попередили, що CTB-Locker зараз розповсюджується за допомогою спам-кампаній.

Зловмисне програмне забезпечення, назва якого розшифровується як «Curve Tor Bitcoin Locker», було вперше виявлено минулого року. Однак підхід до розповсюдження спаму є відносно новою розробкою.

McAfee опублікувала його остання консультація Минулого тижня описав CTB-Locker як програму-вимагач, яка шифрує файли на цільовому комп’ютері. Анекдотичні дані свідчать про те, що файли зображень .jpg є частою ціллю. Потім жертва повинна заплатити викуп за розшифровку файлів.

Symantec повідомила в нещодавньому блозі

що процес боротьби з Крипто програмним забезпеченням «особливо неприємний».

Як це працює

Після встановлення CTB-Locker вставляє шкідливий код у файл svchost.exe, створюючи заплановане завдання для переміщення та шифрування файлів.

Зловмисне програмне забезпечення шифрує скомпрометовані файли за допомогою шифрування еліптичної кривої, яке, здається, еквівалентно шифруванню RSA з 3072- BIT ключем.

Після завершення шифрування користувач отримує інформацію про атаку через спливаюче повідомлення про викуп.

У повідомленні відображається 96-годинний зворотний відлік. Якщо користувач не сплатить викуп у Bitcoin протягом 96 годин, ключ дешифрування знищується, а файли залишаються зашифрованими назавжди.

Спливаюче вікно дозволяє користувачеві побачити список зашифрованих файлів, а також інформацію про те, як здійснити платіж і отримати код розшифровки.

Переносники виявлення, зараження та поширення

McAfee виявляє CTB-Locker під трьома різними назвами: BackDoor-FCKQ, Downloader-FAMV і Injector-FMZ. Symantec визначає остаточне корисне навантаження як Trojan.Cryptolocker.E.

Зловмисне програмне забезпечення поширюється через спам-кампанії у вигляді архіву .zip, що зберігається в іншому файлі .zip. Архівований файл містить завантажувач для CTB-Locker.

Наразі дослідники виявили такі імена, які використовуються для зберігання завантажувача:

• malformed.zip
• plenitude.zip
• запити.zip
• simoniac.zip
• faltboat.zip
• incurably.zip
• payloads.zip
• dessiatine.zip

Крім стандартних надійних практик безпеки (наприклад: не відкривати файли .zip із ненадійних джерел), McAfee опублікувала низку рекомендацій щодо пом’якшення загрози за допомогою продуктів McAfee.

Блог Symantec також пропонує корисну інформацію про CTB-Locker для користувачів продуктів безпеки Symantec.

Якщо жертви не бажають або не можуть платити викуп, відновити зашифровані файли практично неможливо. Найкращий спосіб зменшити вплив потенційної атаки Крипто вимагачів — це регулярне резервне копіювання цінних файлів.

Спливаюче вікно CTB-Locker зображення через Symantec; Спам зображення через Shutterstock.