Эксперты ESET поймали авторов шифратора на плагиате

Специалисты международной антивирусной компании ESET проанализировали троян-шифраторCryptoFortress.

Вредоносная программа CryptoFortress распространяется с помощью набора эксплойтов Nuclear Pack. Троян шифрует документы, изображения и некоторые другие файлы в популярных форматах. Когда шифрование завершено, он выводит на экран требование выкупа за восстановление доступа к файлам. На 22 марта сумма выкупа составляла 1 биткоин (около 17 000 рублей или 275 долларов).

Некоторые исследователи безопасности указывали на сходство CryptoFortress и другого известного шифратора TorrentLocker. Об этом, по их мнению, свидетельствуют почти идентичные сообщения с требованием выкупа и страница платежа.

Изучив образцы вредоносного ПО, эксперты ESET выяснили, что два шифратора диаметрально отличаются друг от друга. Злоумышленники, стоящие за вредоносными кампаниями, используют разный код, схемы распространения и техники шифрования. При этом сходство шифраторов указывает на то, что авторы программы CryptoFortress украли шаблоны HTML у «коллег» — создателей TorrentLocker.

По данным системы телеметрии ESET, сегодня вредоносные кампании CryptoFortress и TorrentLocker действуют одновременно. Чтобы избежать заражения, рекомендуется игнорировать подозрительные письма и ссылки и пользоваться современным антивирусным ПО.

TorrentLocker и CryptoFortress: сравнительные характеристики

 

 

TorrentLocker

CryptoFortress

Распространение

Спам

Набор эксплойтов

Шифрование файлов

AES-256 CBC

AES-256 ECB

Связь с удаленным сервером

Да

Нет

Криптографическая библиотека

LibTomCrypt

Microsoft CryptoAPI

Зашифрованная часть файла

2 Мб в начале файла

Первые 50% файла, до 5 Мб

Выкуп

Биткоин (сумма варьируется)

1 биткоин

 

ESET Microsoft


comments powered by Disqus

Топ компаний

  1. ESET  367
  2. Intel  159
  3. Лаборатория Касперского  153
  4. Microsoft  149
  5. Samsung Electronics  148
  6. Google  74
  7. Dell  60
  8. Qiwi  35
  9. Cisco Systems  27
  10. McAfee  24