TorЭксперты «Лаборатории Касперского» сообщили об обнаружении новой вредоносной программы, созданной для вымогания денег у пользователей. Утилиту CTB-Locker сложно отнести к определенному семейству вирусов. При этом она имеет ряд уникальных функций, которые позволяют назвать ее уникальной разработкой.
 

В общих чертах принцип работы шифровальщика стандартен: троянское приложение добавляет исполняемый файл в планировщик задач, после чего запускает поиск файлов на диске с определенными расширениями. Все обнаруженные файлы (обычно это документы и мультимедийные файлы) шифруются, а на экран выводится угрожающее требование перевести указанную сумму за восстановление файлов. Первые версии таких шифровальщиков атаковали только англоязычных пользователей, однако в дальнейшем программа получила ряд доработок и полноценную поддержку русского языка.
 

Одна из ключевых особенностей CTB-Lockerтесное взаимодействие с популярной анонимной платформой Tor. В данной сети расположен командный сервер злоумышленников. При этом программный код для работы с Tor находится непосредственно в теле вируса. Это позволяет вирусу полноценно работать с анонимной сетью без подключения сторонних модулей. Данная особенность и отличает утилиту от аналогичных вирусов-шифровальщиков, использующих Tor: ранее для взаимодействия с сетью вирусописатели использовали легальное ПО от Tor.


Вредоносная программа отличается и нестандартной схемой шифрованияоно используется для дополнительной защиты соединения с сервером управления. В силу этого даже перехват данных, отправляемых вирусом, включая ключ шифрования, не помогает расшифровать файлы на диске.
 

Большинство инцидентов с CTB-Locker зафиксировано в странах СНГ, единичные случаи зафиксированы в Ливии, Израиле, ОАЭ, Германии и Болгарии. Это позволяет сделать предположение, что непосредственное участие в создании троянского приложения принимали специалисты из России или стран СНГ.

 

Материалы по теме


Как избавиться от CTB Locker (Critroni). Руководство по удалению