Byte/RE ИТ-издание

Новости

Троянец-шифровальщик, управляемый из сети Tor

Безопасность
--> 37

По сообщению «Лаборатории Касперского», ее специалисты обнаружили троянец-шифровальщик CTB-Locker, одна из особенностей которого – полноценное взаимодействие с анонимной сетью Tor без ведома жертвы. Возможности дешифровать данные при этом нет – троянец защищенно передает ключ на сервер злоумышленников, который маскируется в Tor.

Изначально троянец был нацелен на атаку англоязычных жертв, однако самые свежие образцы претерпели косметические доработки и получили поддержку русского языка. Этот факт, а также некоторые строки кода позволяют утверждать, что за данной программой стоят русскоговорящие злоумышленники. Данное предположение коррелирует с географией заражений: больше всего случаев зарегистрировано на территории СНГ; единичные заражения обнаружены на территории Германии, Болгарии, Израиля, ОАЭ и Ливии.

На первый взгляд, общая схема работы троянца довольно типична: он добавляет свой исполняемый файл в список планировщика задач системы, после чего проводит поиск файлов с определенными расширениями, шифрует их и показывает пользователю требование выкупа. Но его командный сервер злоумышленников находится в анонимной сети Tor, чего ранее у шифровальщиков не встречалось. Это принципиально отличает нового троянца от других вредоносных программ, прибегающих к анонимности Tor: если раньше злоумышленники пользовались легальным ПО от разработчиков Tor для включения компьютера в эту сеть, то сейчас код взаимодействия реализован внутри вредоносной программы. Это позволяет ей пользоваться сетью Tor без сторонних исполняемых файлов и запуска дополнительных процессов.

Обнаруженная модификация отличается и нестандартным подходом к шифрованию, с помощью которого дополнительно защищается соединение с командным сервером. В силу этого перехват отправляемой троянцем информации, в частности уникального ключа, которым зашифрованы файлы, не поможет разблокировать данные пользователя.

Сокрытие командного сервера в анонимной сети Tor затрудняет поиск злоумышленников, отмечают эксперты, а необычная криптографическая схема делает расшифровку файлов невозможной даже при перехвате трафика между троянцем и сервером. Все это делает его опасной угрозой и одним из самых технологичных шифровальщиков на сегодняшний день.

Вам также могут понравиться

«Такском» подключает к системе «Воинский учёт»

AWG и Data Insight назвали топ-100 омниканальных ритейлеров

Разработка ПО на заказ — новая парадигма

Рексофт и «Факт» будут повышать эффективность оптовой торговли с помощью…

Работодатели заявили о готовности платить больше управленцам за soft skills

Компания «Наносемантика» расширяет присутствие на международном рынке