CTB-Locker — новая модификация трояна-шифровальщика FileCoder

    Мы уже несколько раз писали про различные семейства троянов-шифровальщиков. Речь идет о модификациях семейства вредоносных программ FileCoder, а также вымогателе Win32/Virlock. Несколько дней назад наша антивирусная лаборатория начала получать сообщения о вредоносной кампании, направленной на пользователей Латинской Америки и Восточной Европы. Фишинговые сообщения электронной почты содержали информацию о «прибывшем факсе». Вложения таких сообщений содержали вредоносное ПО, которое специализируется на шифровании файлов пользователя и требовании выкупа за расшифровку в биткоинах.



    Пример такого вредоносного сообщения показан ниже на скриншоте.



    В этом посте мы рассмотрим вредоносную кампанию по распространению этой вредоносной программы, которая получила распространение в Польше, Чехии, Мексике и многих других странах.



    Как мы упоминали выше, основным вектором распространения CTB-Locker является фишинговое сообщение электронной почты. Вредоносный исполняемый файл, который находится во вложении к письму обнаруживается AV-продуктами ESET как Win32/TrojanDownloader.Elenoocka.A. Этот загрузчик (или даунлоадер) скачивает на компьютер пользователя упоминаемую выше модификацию FileCoder (CTB-Locker). Эта модификация обнаруживается как Win32/FileCoder.DA. После запуска этой вредоносной программы файла на диске подвергаются шифрованию.



    Сам CTB‑locker похож на другой известный шифровальщик под названием CryptoLocker. Отличие между ними состоит в использовании различных алгоритмов шифрования файлов. Результат деятельности CTB‑locker аналогичен CryptoLocker или TorrentLocker, т. е. приводит к шифрованию файлов с расширениями mp4, .pem, .jpg, .doc, .cer, .db. После того, как операция шифрования файлов будет завершена, вредоносная программа отображает предупреждающее сообщение пользователю. Для этой цели CTB‑locker может персонализировать рабочий стол пользователя, т. е. поменять там обои на нижеследующие.



    Вымогатель поддерживает отображение текста на разных языках, включая, немецкий, голландский, итальянский, английский. В списке поддерживаемых языков отсутствует испанский, хотя мы наблюдали заражения этой вредоносной программой и в тех странах, для которых этот язык является основным.

    CTB-Locker отличает тот факт, что злоумышленники используют специальный метод для убеждения пользователя оплатить выкуп. Они демонстрируют ему, что произойдет после его оплаты, т. е. убеждают пользователя в том, что его не обманут и расшифруют файлы.





    После этого пользователю будет продемонстрировано каким образом образом он сможет расшифровать файлы и на какой счет ему нужно будет перевести биткоины для этого.



    Как видно выше на скриншоте, CTB-Locker может демонстрировать курс обмена биткоинов исходя из той валюты, которая соответствует расположению заблокированного компьютера. На момент снятия скриншота восемь биткоинов стояли $1680.

    С технической точки зрения, сам даунлоадер вымогателя, который обнаруживается как Win32/TrojanDownloader.Elenoocka.A, представляет из себя довольно небольшую по размерам и простую с технической точки зрения вредоносную программу. Мы наблюдали использование этого даунлоадера злоумышленниками и в других вредоносных кампаниях. В одной из этих кампаний использовались фишинговые сообщения электронной почты, к которым прилагались вредоносные файлы с названиями invoice_%YEAR_%MONTH_%DAY-1%HOUR_%MIN.scr (напр. invoice_2015_01_20-15_33 .scr). Для маскировки своего запуска в системе, исполняемый файл содержит у себя в ресурсах фальшивый документ Word, который будет показан пользователю в фоне исполнения вредоносного файла.

    Вредоносное ПО CTB-Locker относится к тому типу вымогателей, после деятельности которого невозможно расшифровать файлы без ключа, полученного от злоумышленников. Как мы уже неоднократно подчеркивали, использование резервного копирования является основным методом, который может использоваться для восстановления данных после деятельности такого вредоносного ПО, кроме этого своевременное обновление антивирусных баз также является необходимой мерой для предотвращения заражения.
    ESET NOD32
    135.75
    Компания
    Share post

    Comments 12

    • UFO just landed and posted this here
        –1
        Похоже, прописали сумму в BTC и подгружают курс в валюте страны, хотя нужно было наоборот прописать суммы в валюте и подгружать курс BTC.

        И да, сообщение о полученном факсе? Это ещё тупее, чем недоставленная посылка или проезд по платной дороге.
        Помню, позвонили однажды на домашний, и запись женским голосом «пожалуйста, примите факс», сразу положил трубку.
        0
        Вредоносное ПО CTB-Locker относится к тому типу вымогателей, после деятельности которого невозможно расшифровать файлы без ключа, полученного от злоумышленников

        А каким образом он тогда расшифровывает тестовые файлы?
          0
          Какие тестовые файлы?
            0
            Там же на скрине написано "…decrypt up to 5 files for free", значит всё же каким-то образом можно ключ получить? Или там именно для этих файлов используется другой ключ?
              0
              Полагаю, да, другой ключ, если верить фразе «The following files are chosen for the free decryption»
                0
                Тоже пришёл к такому выводу, т.к. они не дают выбирать файлы, а выбирают их сами
          0
          Мы собственно попались — нашелся пользователь, который не смог удержаться, чтобы не открыть архив с какого-то левого сайта и заразить сеть этой заразой. Т. к. выбора особо у нас не было — пришлось платить.
          Сумма, судя по всему, варьируется, у нас ушло 800 $.
            0
            Ключ прислали? Все расшифровалось нормально?
              0
              да, после оплаты сайт в onion редиректит на страницу с privatkey и ссылкой на дешифратор
              объем в 200 000 + документов вернули за выходные
            0
            Понравился новый уровень шифровальщиков.
              0
              А говорят именно ваши специалисты обещали за неделю расшифровку сделать, когда им писали…

              Only users with full accounts can post comments. Log in, please.