Пресс-центр
23 марта 2015
Эксперты ESET поймали авторов шифратора на плагиате
Москва, 23 марта 2015 г. Специалисты международной антивирусной компании ESET проанализировали троян-шифратор CryptoFortress.
Вредоносная программа CryptoFortress распространяется с помощью набора эксплойтов Nuclear Pack. Троян шифрует документы, изображения и некоторые другие файлы в популярных форматах. Когда шифрование завершено, он выводит на экран требование выкупа за восстановление доступа к файлам. На 22 марта сумма выкупа составляла 1 биткоин (около 17 000 рублей или 275 долларов).
Некоторые исследователи безопасности указывали на сходство CryptoFortress и другого известного шифратора TorrentLocker. Об этом, по их мнению, свидетельствуют почти идентичные сообщения с требованием выкупа и страница платежа.
Изучив образцы вредоносного ПО, эксперты ESET выяснили, что два шифратора диаметрально отличаются друг от друга. Злоумышленники, стоящие за вредоносными кампаниями, используют разный код, схемы распространения и техники шифрования. При этом сходство шифраторов указывает на то, что авторы программы CryptoFortress украли шаблоны HTML у «коллег» - создателей TorrentLocker.
По данным системы телеметрии ESET, сегодня вредоносные кампании CryptoFortress и TorrentLocker действуют одновременно. Чтобы избежать заражения, рекомендуется игнорировать подозрительные письма и ссылки и пользоваться современным антивирусным ПО.
Антивирусные продукты ESET NOD32 защищают от сложных и ранее не известных угроз: http://www.esetnod32.ru/download/home/trial/#tabs-refresh
TorrentLocker и CryptoFortress: сравнительные характеристики
TorrentLocker | CryptoFortress | |
---|---|---|
Распространение | Спам | Набор эксплойтов |
Шифрование файлов | AES-256 CBC | AES-256 ECB |
Связь с удаленным сервером | Да | Нет |
Криптографическая библиотека | LibTomCrypt | Microsoft CryptoAPI |
Зашифрованная часть файла | 2 Мб в начале файла | Первые 50% файла, до 5 Мб |
Выкуп | Биткоин (сумма варьируется) | 1 биткоин |
Сообщение с требованием выкупа CryptoFortress