Обнаружен новый шифровальщик, управляемый из анонимной сети Tor

Kaspersky Lab сообщает о новой угрозе личной информации и корпоративным данным. В конце июня был обнаружен CTB-Locker – ранее неизвестный вариант троянца-шифровальщика, одной из особенностей которого является полноценное взаимодействие с анонимной сетью Tor без ведома жертвы. Возможности дешифровать данные нет – троянец защищенно передает ключ на сервер злоумышленников.

Изначально троянец был нацелен на атаку англоязычных жертв, однако самые свежие образцы претерпели косметические доработки и получили поддержку русского языка. Этот факт, а также некоторые строки кода позволяют утверждать, что за данной программой стоят русскоговорящие злоумышленники. Данное предположение коррелирует с географией заражений: больше всего инцидентов зарегистрировано на территории СНГ. Единичные заражения обнаружены на территории Германии, Болгарии, Израиля, ОАЭ и Ливии.

На первый взгляд, общая схема работы шифровальщика довольно типична: троянец добавляет свой исполняемый файл в список планировщика задач системы, после чего производит поиск файлов с определенными расширениями, осуществляет их шифрование и показывает пользователю требование выкупа. Однако реализация отличается одной «инновацией»: командный сервер злоумышленников находится в анонимной сети Tor, что ранее не встречалось среди шифровальщиков.

В этом заключается принципиальное отличие нового троянца от других вредоносных программ, прибегающих к анонимности Tor: если раньше злоумышленники пользовались легальным ПО от разработчиков Tor для включения компьютера в эту сеть, то в данном случае код взаимодействия реализован внутри вредоносной программы. Это позволяет ей пользоваться сетью Tor без использования сторонних исполняемых файлов и запуска дополнительных процессов.

Также обнаруженная модификация троянца отличается нестандартным подходом к шифрованию, с помощью которого дополнительно защищается соединение с командным сервером. В силу этого перехват отправляемой троянцем информации, в частности уникального ключа, которым зашифрованы файлы, не поможет разблокировать данные пользователя.

О технических подробностях реализации вредоносной программы можно прочесть по ссылке [http://securelist.ru/analysis/obzor/21090/novoe-pokolenie-vymogatelej #36488].