04.08.2014  Новости, Безопасность

По сообщению «Лаборатории Касперского», ее специалисты обнаружили троянец-шифровальщик CTB-Locker, одна из особенностей которого – полноценное взаимодействие с анонимной сетью Tor без ведома жертвы. Возможности дешифровать данные при этом нет – троянец защищенно передает ключ на сервер злоумышленников, который маскируется в Tor. Изначально троянец был нацелен на атаку англоязычных жертв, однако самые свежие образцы претерпели косметические доработки и получили поддержку русского языка. Этот факт, а также некоторые строки кода позволяют утверждать, что за данной программой стоят русскоговорящие злоумышленники. Данное предположение коррелирует с географией заражений: больше всего случаев зарегистрировано на территории СНГ; единичные заражения обнаружены на территории Германии, Болгарии, Израиля, ОАЭ и Ливии. На первый взгляд, общая схема работы троянца довольно типична: он добавляет свой исполняемый файл в список планировщика задач системы, после чего проводит поиск файлов с определенными расширениями, шифрует их и показывает пользователю требование выкупа. Но его командный сервер злоумышленников находится в анонимной сети Tor, чего ранее у шифровальщиков не встречалось. Это принципиально отличает нового троянца от других вредоносных программ, прибегающих к анонимности Tor: если раньше злоумышленники пользовались легальным ПО от разработчиков Tor для включения компьютера в эту сеть, то сейчас код взаимодействия реализован внутри вредоносной программы ... читать далее.