«Лаборатория Касперского» опубликовала анализ свежего троянца-вымогателя, получившего название CoinVault. Наиболее интересной особенностью криптолокера исследователи назвали бесплатную расшифровку одного из файлов жертвы, в качестве жеста доброй воли.

Авторы зловреда приложили серьезные усилия, чтобы усложнить и замедлить его анализ. Код троянца зашифрован и после расшифровки исполняется «на лету», без записи на диск, что помогает CoinVault избежать оставления следов. Также CoinVault проверяет окружение на виртуализированность и на наличие инструментов анализа трафика, и даже имя машины не должно быть «MALTEST», иначе исполнение зловреда будет остановлено, а вредоносная начинка будет спрятана.

Компонент троянца, отвечающий за блокировку Windows (локер), содержит две формы: одна сообщает жертве о том, что она должна заплатить для получения доступа к своим файлам, вторая расшифровывает один из файлов, чтобы продемонстрировать способность троянца расшифровать файлы после получения оплаты. Код локера также обфусцирован, причем остроумные создатели троянца оставили для исследователей сообщение «Your worst nightmare» («Твой худший кошмар») и даже поместили указание на инструмент, с помощью которого обфусцировали код.

CoinVault-4Зловред связывается с сервером управления и контроля с помощью службы динамического DNS, причем в данный момент сервер не отвечает ни одному из двух найденных в коде адресов. Троянец отправляет идентификаторы оборудования клиента, взамен получая с сервера динамический ключ шифрования. После этого файлы на машине жертвы зашифровываются, и зловред требует оплаты в течение 24 часов, иначе цена вырастет. Адрес биткойн-кошелька также динамический, что делает отслеживание платежей значительно более сложным, чем обычно.

MainScreenИсследователи «Лаборатории Касперского» заключили, что объем вложенных в защиту кода от анализа усилий свидетельствует о том, что злоумышленники перешли на использование разработанных стандартных библиотек для реализации типовых защитных приемов.

Категории: Вредоносные программы, Главное