«Лаборатория Касперского» обнаружила абсолютно новое семейство программ-вымогателей

«Лаборатория Касперского» обнаружила абсолютно новое семейство программ-вымогателей

Вредоносное ПО Onion обладает характеристиками, позволяющими назвать его оригинальной разработкой.  

image

Эксперты из «Лаборатории Касперского»  сообщили  об обнаружении нового семейства вредоносного ПО, использующегося для вымогательства. Троян Onion (авторское название - CTB-Locker) является одним из самых сложных шифровальщиков и обладает характеристиками, позволяющими назвать его оригинальной разработкой.

При создании вредоноса его авторы использовали как уже известные техники (требование выкупа в Bitcoin), так и совершенно новые, нетипичные для подобного ПО. Особенностью Onion является то, что C&C-сервер скрыт в сети Tor, что намного усложняет обнаружение злоумышленников.

Расшифровка файлов, зашифрованных вредоносом, невозможна даже при перехвате трафика между ним и сервером из-за необычной криптографической схемы. Кроме того, он сжимает файлы перед тем, как их зашифровать, что также нетипично для программ-вымогателей.

Схема работы трояна типична для ПО, использующегося в вымогательских целях. Попав на систему, он копирует себя в <CommonAppdata> (CSIDL_COMMON_APPDATA) и добавляет запуск этого файла в «Планировщик задач» (Task Scheduler). Осуществляет поиск на всех несъемных, съемных и сетевых дисках файлов по списку расширений, а затем шифрует их. После этого пользователь получает уведомление с требованием выкупа и списком зашифрованных файлов.

Примечательно, что Onion устанавливает на рабочий стол жертвы изображение AllFilesAreLocked.bmp.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Комментарии для сайта Cackle