23 Марта 2015

Эксперты ESET поймали авторов шифратора на плагиате

Москва, 23 марта 2015 г. Специалисты международной антивирусной компании ESET проанализировали троян-шифратор CryptoFortress.

Вредоносная программа CryptoFortress распространяется с помощью набора эксплойтов Nuclear Pack. Троян шифрует документы, изображения и некоторые другие файлы в популярных форматах. Когда шифрование завершено, он выводит на экран требование выкупа за восстановление доступа к файлам. На 22 марта сумма выкупа составляла 1 биткоин (около 17 000 рублей или 275 долларов).

Некоторые исследователи безопасности указывали на сходство CryptoFortress и другого известного шифратора TorrentLocker. Об этом, по их мнению, свидетельствуют почти идентичные сообщения с требованием выкупа и страница платежа.

Изучив образцы вредоносного ПО, эксперты ESET выяснили, что два шифратора диаметрально отличаются друг от друга. Злоумышленники, стоящие за вредоносными кампаниями, используют разный код, схемы распространения и техники шифрования. При этом сходство шифраторов указывает на то, что авторы программы CryptoFortress украли шаблоны HTML у «коллег» - создателей TorrentLocker.

По данным системы телеметрии ESET, сегодня вредоносные кампании CryptoFortress и TorrentLocker действуют одновременно. Чтобы избежать заражения, рекомендуется игнорировать подозрительные письма и ссылки и пользоваться современным антивирусным ПО.

Антивирусные продукты ESET NOD32 защищают от сложных и ранее не известных угроз: http://www.esetnod32.ru/download/home/trial/#tabs-refresh

TorrentLocker и CryptoFortress: сравнительные характеристики

TorrentLocker CryptoFortress
Распространение Спам Набор эксплойтов
Шифрование файлов AES-256 CBC AES-256 ECB
Связь с удаленным сервером Да Нет
Криптографическая библиотека LibTomCrypt Microsoft CryptoAPI
Зашифрованная часть файла 2 Мб в начале файла Первые 50% файла, до 5 Мб
Выкуп Биткоин (сумма варьируется) 1 биткоин

Сообщение с требованием выкупа CryptoFortress