26 июля 2014
«Лаборатория Касперского» обнаружила абсолютно новое семейство программ-вымогателей
Эксперты из «Лаборатории Касперского» сообщили об обнаружении нового семейства вредоносного ПО, использующегося для вымогательства. Троян Onion (авторское название - CTB-Locker) является одним из самых сложных шифровальщиков и обладает характеристиками, позволяющими назвать его оригинальной разработкой.
При создании вредоноса его авторы использовали как уже известные техники (требование выкупа в Bitcoin), так и совершенно новые, нетипичные для подобного ПО. Особенностью Onion является то, что C&C-сервер скрыт в сети Tor, что намного усложняет обнаружение злоумышленников.
Расшифровка файлов, зашифрованных вредоносом, невозможна даже при перехвате трафика между ним и сервером из-за необычной криптографической схемы. Кроме того, он сжимает файлы перед тем, как их зашифровать, что также нетипично для программ-вымогателей.
Схема работы трояна типична для ПО, использующегося в вымогательских целях. Попав на систему, он копирует себя в <CommonAppdata> (CSIDL_COMMON_APPDATA) и добавляет запуск этого файла в «Планировщик задач» (Task Scheduler). Осуществляет поиск на всех несъемных, съемных и сетевых дисках файлов по списку расширений, а затем шифрует их. После этого пользователь получает уведомление с требованием выкупа и списком зашифрованных файлов.
Примечательно, что Onion устанавливает на рабочий стол жертвы изображение AllFilesAreLocked.bmp.