Bitcoin
В Интернете распространяется обновленная версия «лукового» трояна-вымогателя, о котором многие читатели уже могли слышать под именем CTB-Locker или Citroni.
Как его ни называй, CTB-Locker — это программа-вымогатель, общим принципом своей работы похожая на знаменитый CryptoLocker. Зашифровав данные на ПК пользователя — например, документы и фотографии, зловред требует выкуп за расшифровку данных.
Аббревиатура CTB в названии зловреда означает Curve Tor Bitcoin. Первое слово сообщает о том, что вымогатель использует нестандартный алгоритм шифрования (Elliptic Curve Diffie-Hellman). Второе: управляющие сервера зловреда спрятаны в анонимной сети Tor. Наконец, третье: выкуп у своих жертв киберзлодеи требуют в электронной валюте Bitcoin.
«Сокрытие управляющих серверов в анонимной сети Tor усложняет розыск киберпреступников, а нестандартные схемы криптографии делают невозможной расшифровку файла, даже если перехватить трафик между троянцем и управляющим сервером, — говорит Федор Синицын, старший аналитик «Лаборатории Касперского». — Все это делает CTB-Locker очень серьезной угрозой и одним из самых сложных из существующих блокировщиков-шифровальщиков».
Новая версия трояна, занесенного в антивирусную базу «Лаборатории Касперского» под именем Trojan-Ransom.Win32.Onion, получила несколько интересных новых возможностей.
- «Первые 5 файлов бесплатно»: в качестве демонстрации троян позволяет расшифровать пять файлов без оплаты выкупа.
- Вымогатель локализован на трех новых языках: немецким, итальянским и голландским.
- CTB-Locker стало сложнее изучать, поскольку зловред получил новые свойства, мешающие специалистами работать с ним.
- Помимо прямого подключения через Tor, троян теперь умеет общаться с управляющими серверами через один из шести веб-сервисов, перенаправляющих запросы из открытого интернета в Tor.
Лучший (и в основе своей бесплатный) способ борьбы с программами-вымогателями — это проводить резервное копирование всех ценных файлов не реже чем раз в неделю, а также регулярно проверять, в рабочем ли состоянии резервные копии. Надежный антивирус также поможет защитить ваши файлы. Кроме того, следует убедиться, что были установлены все обновления.
Лучший способ защититься от #ransomware — сделать #backup ВЧЕРА
Tweet
Если ваш компьютер уже заражен, то без ключа, единственная копия которого хранится у преступников, восстановить зашифрованные трояном файлы невозможно. Конечно, вы можете заплатить выкуп, но нет никакой гарантии, что вымогатели любезно пришлют в ответ ключ для расшифровки файлов. Кибервымогательство уже стало серьезным, массовым видом бизнеса, и с приходом «Интернета вещей» ситуация, скорее всего, только ухудшится.
Новая программа-вымогатель прячется в #Tor и хочет повторить «успех» #Cryptolocker: http://t.co/enWcVWFmxz
— Kaspersky (@Kaspersky_ru) July 25, 2014
На данный момент в Kaspersky Security Network зарегистрирована 361 попытка заражения, в основном в России и на Украине. Функция «Мониторинг активности» (System Watcher) в решениях «Лаборатории Касперского» включает специальную защиту от трояна, описанного в этой статье, и других подобных ему зловредов. Как только подозрительная программа получает доступ к файлам пользователя, «Мониторинг активности» немедленно создает защищенную локальную копию файла. Поэтому не следует отключать этот компонент. И на всякий случай, пока вы не заразились, убедитесь, что он включен, — прямо сейчас.
Очень актуальный совет: как защититься от вирусов-шифровальщиков — http://t.co/duZP3DcSoV
— Kaspersky (@Kaspersky_ru) October 3, 2014
Резюмируем. CTB-Locker — очень серьезная угроза. Пользователи продуктов «Касперского» защищены от нее, если не отключали модуль «Мониторинг активности». Если ваш компьютер уже заражен, то единственный способ вернуть файлы — заплатить вымогателям. Но никаких гарантий счастливого исхода нет и в этом случае. Да, мир жесток.
Советы