Мы уже несколько раз писали про различные семейства троянов-шифровальщиков. Речь идет о модификациях семейства вредоносных программ FileCoder, а также вымогателе Win32/Virlock. Несколько дней назад наша антивирусная лаборатория начала получать сообщения о вредоносной кампании, направленной на пользователей Латинской Америки и Восточной Европы. Фишинговые сообщения электронной почты содержали информацию о «прибывшем факсе». Вложения таких сообщений содержали вредоносное ПО, которое специализируется на шифровании файлов пользователя и требовании выкупа за расшифровку в биткоинах.
Пример такого вредоносного сообщения показан ниже на скриншоте.
В этом посте мы рассмотрим вредоносную кампанию по распространению этой вредоносной программы, которая получила распространение в Польше, Чехии, Мексике и многих других странах.
Как мы упоминали выше, основным вектором распространения CTB-Locker является фишинговое сообщение электронной почты. Вредоносный исполняемый файл, который находится во вложении к письму обнаруживается AV-продуктами ESET как Win32/TrojanDownloader.Elenoocka.A. Этот загрузчик (или даунлоадер) скачивает на компьютер пользователя упоминаемую выше модификацию FileCoder (CTB-Locker). Эта модификация обнаруживается как Win32/FileCoder.DA. После запуска этой вредоносной программы файла на диске подвергаются шифрованию.
Сам CTB‑locker похож на другой известный шифровальщик под названием CryptoLocker. Отличие между ними состоит в использовании различных алгоритмов шифрования файлов. Результат деятельности CTB‑locker аналогичен CryptoLocker или TorrentLocker, т. е. приводит к шифрованию файлов с расширениями mp4, .pem, .jpg, .doc, .cer, .db. После того, как операция шифрования файлов будет завершена, вредоносная программа отображает предупреждающее сообщение пользователю. Для этой цели CTB‑locker может персонализировать рабочий стол пользователя, т. е. поменять там обои на нижеследующие.
Вымогатель поддерживает отображение текста на разных языках, включая, немецкий, голландский, итальянский, английский. В списке поддерживаемых языков отсутствует испанский, хотя мы наблюдали заражения этой вредоносной программой и в тех странах, для которых этот язык является основным.
CTB-Locker отличает тот факт, что злоумышленники используют специальный метод для убеждения пользователя оплатить выкуп. Они демонстрируют ему, что произойдет после его оплаты, т. е. убеждают пользователя в том, что его не обманут и расшифруют файлы.
После этого пользователю будет продемонстрировано каким образом образом он сможет расшифровать файлы и на какой счет ему нужно будет перевести биткоины для этого.
Как видно выше на скриншоте, CTB-Locker может демонстрировать курс обмена биткоинов исходя из той валюты, которая соответствует расположению заблокированного компьютера. На момент снятия скриншота восемь биткоинов стояли $1680.
С технической точки зрения, сам даунлоадер вымогателя, который обнаруживается как Win32/TrojanDownloader.Elenoocka.A, представляет из себя довольно небольшую по размерам и простую с технической точки зрения вредоносную программу. Мы наблюдали использование этого даунлоадера злоумышленниками и в других вредоносных кампаниях. В одной из этих кампаний использовались фишинговые сообщения электронной почты, к которым прилагались вредоносные файлы с названиями invoice_%YEAR_%MONTH_%DAY-1%HOUR_%MIN.scr (напр. invoice_2015_01_20-15_33 .scr). Для маскировки своего запуска в системе, исполняемый файл содержит у себя в ресурсах фальшивый документ Word, который будет показан пользователю в фоне исполнения вредоносного файла.
Вредоносное ПО CTB-Locker относится к тому типу вымогателей, после деятельности которого невозможно расшифровать файлы без ключа, полученного от злоумышленников. Как мы уже неоднократно подчеркивали, использование резервного копирования является основным методом, который может использоваться для восстановления данных после деятельности такого вредоносного ПО, кроме этого своевременное обновление антивирусных баз также является необходимой мерой для предотвращения заражения.
Пример такого вредоносного сообщения показан ниже на скриншоте.
В этом посте мы рассмотрим вредоносную кампанию по распространению этой вредоносной программы, которая получила распространение в Польше, Чехии, Мексике и многих других странах.
Как мы упоминали выше, основным вектором распространения CTB-Locker является фишинговое сообщение электронной почты. Вредоносный исполняемый файл, который находится во вложении к письму обнаруживается AV-продуктами ESET как Win32/TrojanDownloader.Elenoocka.A. Этот загрузчик (или даунлоадер) скачивает на компьютер пользователя упоминаемую выше модификацию FileCoder (CTB-Locker). Эта модификация обнаруживается как Win32/FileCoder.DA. После запуска этой вредоносной программы файла на диске подвергаются шифрованию.
Сам CTB‑locker похож на другой известный шифровальщик под названием CryptoLocker. Отличие между ними состоит в использовании различных алгоритмов шифрования файлов. Результат деятельности CTB‑locker аналогичен CryptoLocker или TorrentLocker, т. е. приводит к шифрованию файлов с расширениями mp4, .pem, .jpg, .doc, .cer, .db. После того, как операция шифрования файлов будет завершена, вредоносная программа отображает предупреждающее сообщение пользователю. Для этой цели CTB‑locker может персонализировать рабочий стол пользователя, т. е. поменять там обои на нижеследующие.
Вымогатель поддерживает отображение текста на разных языках, включая, немецкий, голландский, итальянский, английский. В списке поддерживаемых языков отсутствует испанский, хотя мы наблюдали заражения этой вредоносной программой и в тех странах, для которых этот язык является основным.
CTB-Locker отличает тот факт, что злоумышленники используют специальный метод для убеждения пользователя оплатить выкуп. Они демонстрируют ему, что произойдет после его оплаты, т. е. убеждают пользователя в том, что его не обманут и расшифруют файлы.
После этого пользователю будет продемонстрировано каким образом образом он сможет расшифровать файлы и на какой счет ему нужно будет перевести биткоины для этого.
Как видно выше на скриншоте, CTB-Locker может демонстрировать курс обмена биткоинов исходя из той валюты, которая соответствует расположению заблокированного компьютера. На момент снятия скриншота восемь биткоинов стояли $1680.
С технической точки зрения, сам даунлоадер вымогателя, который обнаруживается как Win32/TrojanDownloader.Elenoocka.A, представляет из себя довольно небольшую по размерам и простую с технической точки зрения вредоносную программу. Мы наблюдали использование этого даунлоадера злоумышленниками и в других вредоносных кампаниях. В одной из этих кампаний использовались фишинговые сообщения электронной почты, к которым прилагались вредоносные файлы с названиями invoice_%YEAR_%MONTH_%DAY-1%HOUR_%MIN.scr (напр. invoice_2015_01_20-15_33 .scr). Для маскировки своего запуска в системе, исполняемый файл содержит у себя в ресурсах фальшивый документ Word, который будет показан пользователю в фоне исполнения вредоносного файла.
Вредоносное ПО CTB-Locker относится к тому типу вымогателей, после деятельности которого невозможно расшифровать файлы без ключа, полученного от злоумышленников. Как мы уже неоднократно подчеркивали, использование резервного копирования является основным методом, который может использоваться для восстановления данных после деятельности такого вредоносного ПО, кроме этого своевременное обновление антивирусных баз также является необходимой мерой для предотвращения заражения.
