«Лаборатория Касперского» обнаружила абсолютно новое семейство программ-вымогателей

image

Теги: Лаборатория Касперского, вымогатель, вредоносное ПО

Вредоносное ПО Onion обладает характеристиками, позволяющими назвать его оригинальной разработкой.  

Эксперты из «Лаборатории Касперского»  сообщили  об обнаружении нового семейства вредоносного ПО, использующегося для вымогательства. Троян Onion (авторское название - CTB-Locker) является одним из самых сложных шифровальщиков и обладает характеристиками, позволяющими назвать его оригинальной разработкой.

При создании вредоноса его авторы использовали как уже известные техники (требование выкупа в Bitcoin), так и совершенно новые, нетипичные для подобного ПО. Особенностью Onion является то, что C&C-сервер скрыт в сети Tor, что намного усложняет обнаружение злоумышленников.

Расшифровка файлов, зашифрованных вредоносом, невозможна даже при перехвате трафика между ним и сервером из-за необычной криптографической схемы. Кроме того, он сжимает файлы перед тем, как их зашифровать, что также нетипично для программ-вымогателей.

Схема работы трояна типична для ПО, использующегося в вымогательских целях. Попав на систему, он копирует себя в <CommonAppdata> (CSIDL_COMMON_APPDATA) и добавляет запуск этого файла в «Планировщик задач» (Task Scheduler). Осуществляет поиск на всех несъемных, съемных и сетевых дисках файлов по списку расширений, а затем шифрует их. После этого пользователь получает уведомление с требованием выкупа и списком зашифрованных файлов.

Примечательно, что Onion устанавливает на рабочий стол жертвы изображение AllFilesAreLocked.bmp.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

comments powered by Disqus