Криптоблокер Chimera, похоже, исчез так же внезапно, как и появился. В минувший вторник исследователи из Bleeping Computer зафиксировали прекращение новой вымогательской операции, уже успевшей встревожить некоторых представителей ИБ-сообщества.

Блокер-шифровальщик Chimera ограничен территорией Германии и необычен тем, что в случае неуплаты выкупа грозит опубликовать файлы жертвы онлайн, однако исследователи утверждают, что он не способен на такие действия. «Он шифрует информационные файлы, но никуда не передает ни файлы, ни их данные в процессе шифрования, — свидетельствует Лоуренс Абрамс из Bleeping Computer. — Более того, криптокод вымогателя самоудаляется после исполнения, не оставляя никаких данных, которые можно было бы передать впоследствии. Дешифратор, загружаемый жертвой, активен в ожидании ключа для расшифровки, но анализ исходного кода показал, что он не способен отправлять куда-либо файлы данных».

Со слов Абрамса, новый криптоблокер также заинтересовал Фабиана Возара (Fabian Wosar) из Emsisoft. Коллега Абрамса полагает, что деятельность Chimera в Германии привлекла к нему слишком много внимания и во избежание неприятностей вымогатели решили свернуть операцию. Как бы то ни было, можно ожидать, что опыт Chimera найдет своих последователей.

По мнению Абрамса, особый интерес в этом плане представляет необычное применение p2p-протокола Bitmessage. Chimera использует его для обмена между вымогателями и жертвами, а также для проведения платежных транзакций. Bitmessage работает примерно так же, как Bitcoin: он предусматривает децентрализацию и обеспечивает передачу шифрованных сообщений всем подписчикам. Прочесть такое сообщение могут лишь те пользователи, у которых есть приватный ключ, — в данном случае авторы Chimera.

«Пока у вирусописателя есть доступ к компьютеру, он может читать bitmessage-сообщения, собирать новые ключи и отсылать ключи для расшифровки, — комментирует Абрамс. — Все bitmessage сохраняются и доступны пирам в течение двух дней, что обеспечивает вирусописателю свободу перемещения с сохранением доступа к сообщениям, доставленным за этот период. Поскольку многие пиры используют Tor, VPN, I2P и т.п., а также могут переадресовывать сообщения, выявить истинный первоисточник невозможно».

Chimera bitmessage

Криптоблокер Chimera объявился на территории Германии в сентябре, он раздавался посредством целевых email-рассылок, адресованных корпоративным пользователям. В начале ноября борцы с ботнетами из немецкой компании Botfrei опубликовали в блоге предупреждение о новой вымогательской кампании. В нем отмечено, что вредоносные письма замаскированы под деловое предложение или послание от кандидата на трудоустройство и снабжены ссылкой на зараженную страницу Dropbox. После загрузки и запуска Chimera шифрует файлы на локальных и сетевых дисках и требует выкуп в размере 630 евро, подлежащий уплате в биткойнах. В случае неуплаты вымогатели грозятся опубликовать информацию и фотоальбом жертвы онлайн.

Категории: Аналитика, Вредоносные программы