Специалисты антивирусной компании ESET проанализировали троян-шифратор CryptoFortress. Вредоносная программа CryptoFortress распространяется с помощью набора эксплойтов Nuclear Pack. Троян шифрует документы, изображения и некоторые другие файлы в популярных форматах. Когда шифрование завершено, он выводит на экран требование выкупа за восстановление доступа к файлам. На 22 марта сумма выкупа составляла 1 биткоин (около 17 000 рублей или 275 долларов).
Некоторые исследователи безопасности указывали на сходство CryptoFortress и другого известного шифратора TorrentLocker. Об этом, по их мнению, свидетельствуют почти идентичные сообщения с требованием выкупа и страница платежа. Изучив образцы вредоносного ПО, эксперты ESET выяснили, что два шифратора диаметрально отличаются друг от друга. Злоумышленники, стоящие за вредоносными кампаниями, используют разный код, схемы распространения и техники шифрования. При этом сходство шифраторов указывает на то, что авторы программы CryptoFortress украли шаблоны HTML у «коллег» - создателей TorrentLocker.
По данным системы телеметрии, сегодня вредоносные кампании CryptoFortress и TorrentLocker действуют одновременно.
Сравнительные характеристики TorrentLocker и CryptoFortress:
- Распространение: Спам; Набор эксплойтов
- Шифрование файлов: AES-256 CBC; AES-256 ECB
- Связь с удаленным сервером: Да; Нет
- Криптографическая библиотека: LibTomCrypt; Microsoft CryptoAPI
- Зашифрованная часть файла: 2 Мб в начале файла; Первые 50% файла, до 5 Мб
- Выкуп: Биткоин (сумма варьируется); 1 биткоин
Источник новости: ESET