Просмотр по

Программа-вымогатель маскируется под письмо от Microsoft

Программа-вымогатель маскируется под письмо от Microsoft

Чтобы обмануть пользователей и заразить их компьютеры вредоносным кодом, киберпреступники стараются использовать каждое заметное событие. Не стал исключением и недавний выпуск ОС Windows 10. Сотрудники подразделения Talos, которое входит в состав компании Cisco и занимается анализом угроз информационной безопасности, обнаружили спам-атаку, замаскированную под почтовую рассылку от корпорации Microsoft, и предлагающую бесплатно обновиться до Windows 10.

В письме злоумышленники тщательно подделывают характерные атрибуты почтовых рассылок корпорации Microsoft: адрес отправителя, цветовую схему и даже правовую оговорку в конце письма. Кроме того, в сообщении имеется приписка, что оно проверено антивирусом и не несет вредоносного кода.

В действительности же письмо содержит программу-вымогатель CTB-Locker, которая зашифровывает файлы пользователя и требует за их расшифровку деньги. Данный вредоносный код имеет несколько особенностей. Во-первых, это тип шифрования. В то время, как большинство аналогичных программ применяет для шифрования ассиметричный алгоритм RSA, CTB-Locker использует алгоритм эллиптических кривых. Он хоть и предоставляет похожий механизм шифрования с применением открытого и закрытого ключей, но является совсем другим алгоритмом и имеет при таком же уровне криптостойкости гораздо более высокую скорость работы и меньший размер ключа.

Программа-вымогатель маскируется под письмо от Microsoft

Во-вторых, временной интервал. CTB-Locker дает пользователям только 96 часов для того, чтобы оплатить разблокирование файлов. (Это гораздо меньше того, что дает большинство других программ-вымогателей).

Еще одна особенность CTB-Locker заключается в механизме взаимодействия с центром управления и контроля. Последние версии программ-вымогателей для обмена информацией с центром используют зараженные сайты, построенные на технологии WordPress. CTB-Locker, судя по всему, для этих целей использует жестко заданные IP-адреса с нестандартными портами. Кроме того, наблюдается значительный объем данных, передаваемых между CTB-Locker и центром управления и контроля, что тоже не совсем обычно для программ-вымогателей. Анализ сетевого трафика выявил около сотни активных сетевых сеансов с различными IP-адресами, при этом наиболее часто использовались порты с номерами 9001, 443, 1443 и 666.

Имеется еще несколько интересных аспектов, связанных с сетевыми коммуникациями CTB-Locker. Исследование, проведенное подразделением Talos, позволило определить доменные имена, присутствующие в передаваемых данных.

Эти доменные имена еще не зарегистрированы, а исследуемые образцы пока не пытаются использовать DNS для определения адресов и связи с этими доменами. Большая часть трафика передается по портам, обычно предназначенным для работы Tor, что довольно обычно для взаимодействия вредоносного ПО со своими центрами управления и контроля.

Наконец, еще одной особенностью CTB-Locker является использование для коммуникаций порта номер 21. Этот порт ассоциируется с трафиком FTP и потому обычно не блокируется межсетевыми экранами. Тем не менее, быстрый анализ данных, передаваемых CTB-Locker по данному порту, показал, что это не данные FTP, а обмен информацией с центром управления и контроля.

Аналитики считают, что угроза, исходящая от программ-вымогателей, будет расти до тех пор, пока злоумышленники не найдут более эффективных методов получения денежной выгоды от зараженных компьютеров. В качестве меры защиты пользователям настоятельно рекомендуется делать резервные копии своих данных. При этом такие копии должны храниться вне компьютера, чтобы у атакующих не было возможности получить доступ к ним.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *