Аналитическая компания Malcovery Security, работающая при университете Алабамы в Бирмингеме (UAB), предупреждает о новой спам-рассылке, нацеленной на засев шифровальщика CTB-Locker, он же Critroni. Вредоносные письма имитируют уведомление о входящем факсе и предлагают открыть вложенный zip-файл, чтобы ознакомиться с «документом».

Для обхода защитных фильтров спамеры присвоили этому архиву случайное имя, выбранное по словарю, и поместили в него еще один zip-файл, в котором скрыли полезную нагрузку в формате .scr. Вредоносный scr-файл поименован так же, как zip-вложение, и, согласно Malcovery, содержит даунлоудер Dalexis. Примечательно, что все scr-файлы, изученные исследователями в рамках текущей спам-кампании, уникальны, то есть детектируются с разными хэшами, хотя сами сэмплы функционируют одинаково и имеют одну и ту же структуру.

При запуске Dalexis загружает с одного из ряда заданных сайтов целевой файл pack.tar.gz — шифрованную с помощью XOR копию вымогателя. Необычный формат этого файла, по словам экспертов, призван уберечь его от сканирования на границе сети. После расшифровки и запуска криптоблокер приступает к выполнению основных функций: ищет на несъемных, съемных и сетевых дисках файлы, руководствуясь внушительным списком расширений, шифрует их, отображает окно с требованием выкупа (в биткойнах), блокирует рабочий стол сообщением о случившемся и взаимодействует с C&C-сервером, размещенным в анонимной сети Tor.

Напомним, помимо использования Tor-функций CTB-Locker (в классификации «Лаборатории Касперского» Trojan-Ransom.Win32.Onion) необычен также тем, что подвергает шифрованные файлы сжатию и применяет криптостойкий алгоритм ECDH (Диффи — Хеллмана на эллиптической кривой). Реклама этого шифровальщика была впервые обнаружена в сетевом андерграунде в минувшем июне, причем на русском языке. Первые покупатели распространяли CTB-Locker в основном с помощью эксплойт-пака Angler. По всей видимости, спам как способ доставки данного зловреда тоже будет постепенно набирать обороты.

Есть также вероятность, что CTB-Locker со временем станет настоящим полиглотом. Вначале он имел в своем арсенале лишь два языка, английский и русский. Судя по скринам, приведенным в новой записи в блоге Malcovery, он теперь способен также найти общий язык с жителями Германии, Голландии и Италии, подгоняя их с помощью таймера:

CTB-Locker

Картинка-обои в исполнении CTB-Locker (источник: отчет Malcovery).

Категории: Вредоносные программы, Спам