Вымогатель Crypt0L0cker, также известный под именами TorrentLocker и Teerac, в 2014 году уже досаждал жителям Австралии и Европы, но в середине 2015 года темпы его распространения утихли. Однако это уже не так: в начале февраля Crypt0L0cker вернулся и снова атакует пользователей из Европы.

Для шифрования пользовательских документов, фото и прочих файлов TorrentLocker генерирует 256-битный ключ AES и требует до 4 биткойнов за расшифровку. Этот ключ затем шифруется публичным 2048-битным RSA и отсылается на командный сервер. Поскольку сгенерированный по месту AES-ключ удаляется из памяти, при уплате выкупа его сохраненная на сервере копия дешифруется с помощью приватного RSA-ключа и высылается зловреду для освобождения файлов.

По данным сайта ID-Ransomware, в конце января ежедневное количество заражений выросло до сотни, а в течение февраля этот показатель в некоторые дни достигал свыше 400. Телеметрические данные подтвердили, что зловред снова орудует в Европе, особенно в Италии.

В рамках данной кампании распространители Crypt0L0cker используют для доставки вредоносного спама сервис «сертифицированной электронной почты», отличающейся высоким уровнем безопасности, и маскируют сообщения под счета. К письму прилагается JS-файл, при помощи которого Crypt0L0cker попадает в систему и устанавливается.

Сертифицированная электронная почта (PEC) имеет такую же юридическую силу, как официальное письмо, отправленное по почте. Также PEC-письма подписаны цифровой подписью и предполагают получение уведомлений о доставке.

Эти трюки усыпляют бдительность жертвы; подобный подход к распространению вымогателя демонстрирует, что авторы зловредов совершенствуют и дополняют свои детища.

Категории: Вредоносные программы