Пресс-центр

Москва, 23 марта 2015 г. Специалисты международной антивирусной компании ESET проанализировали троян-шифратор CryptoFortress.

Вредоносная программа CryptoFortress распространяется с помощью набора эксплойтов Nuclear Pack. Троян шифрует документы, изображения и некоторые другие файлы в популярных форматах. Когда шифрование завершено, он выводит на экран требование выкупа за восстановление доступа к файлам. На 22 марта сумма выкупа составляла 1 биткоин (около 17 000 рублей или 275 долларов).

Некоторые исследователи безопасности указывали на сходство CryptoFortress и другого известного шифратора TorrentLocker. Об этом, по их мнению, свидетельствуют почти идентичные сообщения с требованием выкупа и страница платежа.

Изучив образцы вредоносного ПО, эксперты ESET выяснили, что два шифратора диаметрально отличаются друг от друга. Злоумышленники, стоящие за вредоносными кампаниями, используют разный код, схемы распространения и техники шифрования. При этом сходство шифраторов указывает на то, что авторы программы CryptoFortress украли шаблоны HTML у «коллег» - создателей TorrentLocker.

По данным системы телеметрии ESET, сегодня вредоносные кампании CryptoFortress и TorrentLocker действуют одновременно. Чтобы избежать заражения, рекомендуется игнорировать подозрительные письма и ссылки и пользоваться современным антивирусным ПО.

Антивирусные продукты ESET NOD32 защищают от сложных и ранее не известных угроз: http://www.esetnod32.ru/download/home/trial/#tabs-refresh

TorrentLocker и CryptoFortress: сравнительные характеристики

	TorrentLocker	CryptoFortress
Распространение	Спам	Набор эксплойтов
Шифрование файлов	AES-256 CBC	AES-256 ECB
Связь с удаленным сервером	Да	Нет
Криптографическая библиотека	LibTomCrypt	Microsoft CryptoAPI
Зашифрованная часть файла	2 Мб в начале файла	Первые 50% файла, до 5 Мб
Выкуп	Биткоин (сумма варьируется)	1 биткоин

Сообщение с требованием выкупа CryptoFortress