Эксперты: Вымогательское ПО CriptoWall 4.0 создано в России

ИБ-исследователи из BitDefender считают, что новая версия программы-вымогателя CryptoWall 4.0 имеет российское происхождение. К такому выводу специалисты пришли после того, как выяснилось, что серверы, которые злоумышленники используют для рассылки вредоноса, расположены в России. Также экспертам стало известно о том, что JavaScript загружает полезную нагрузку с российских серверов.

Напомним , на прошлой неделе специалисты компаний Heimdal Security и BitDefender обнаружили новую, более скрытную версию программы-вымогателя CryptoWall. В последней версии CryptoWall реализованы модификации, позволяющие ей избегать обнаружения антивирусами , включая межсетевые экраны нового поколения. CryptoWall 4.0 зашифровывает не только сами файлы, но также их имена. Новая техника увеличивает замешательство пользователей, тем самым повышая шансы на быструю выплату выкупа.

ИБ-исследователи сообщили, что файлы жертвы зашифровываются с помощью алгоритма AES 256, а ключ – с помощью RSA 2048. Кибератаки, в которых использовался Cryptowall 4.0, были зафиксированы в Италии, Германии, Индии, Румынии, Испании, США, Китае, Кении, Южной Африке, Кувейте и на Филиппинах.  Эксперты выяснили, что вымогатель не зашифровывает пользовательские файлы, если обнаруживает, что компьютер использует русский язык.

Стоит отметить, что по предварительным оценкам, ущерб от активности вредоноса CryptoWall 3.0 составил $325 млн. Предполагается, что CryptoWall 4.0 превзойдет результат своего предшественника.