Когда за раздачу криптоблокеров берутся операторы эксплойт-пака, в особенности такого, как Angler, всех охватывает тревога. Новейшим «сюрпризом» от Angler является шифровальщик CryptXXX, которого в Proofpoint и Fox IT связывают с криминальной группой, некогда распространявшей блокировщик Reveton и кликер Bedep.

CryptXXX шифрует файлы (присваивая им расширение .crypt) не только на локальных, но также на всех подключенных накопителях и требует за расшифровку солидную сумму — $500 в биткойнах. Зловред также способен выполнять дополнительные функции: копировать файлы, подвергая жертву риску кражи личности, и воровать биткойны, сохраненные локально на жестком диске.

«Он опасен из-за Angler (то есть потенциала для массового распространения), — предупреждает Федор Синицын, старший вирусный аналитик «Лаборатории Касперского». — Кроме того, он обладает дополнительной функциональностью для кражи конфиденциальных данных, что тоже составляет большую угрозу даже в том случае, если жертве удастся расшифровать файлы».

Исследователи из «Лаборатории Касперского» предлагают жертвам CryptXXX бесплатное решение, помогающее восстановить файлы, зашифрованные этим блокером. Как оказалось, авторы данного зловреда допустили ошибку в реализации криптоалгоритма, позволившую экспертам создать декриптор. Он был в итоге включен в состав уже существующей утилиты, предназначенной для расшифровки файлов после заражения Rannoh, AutoIt, Fury, Crybola и Cryakl.

По словам Синицына, для нового декриптора нужна оригинальная копия хотя бы одного файла, зашифрованного CryptXXX. «Если есть подходящая пара, утилита расшифрует все файлы, величина которых не превышает размера файла из этой пары, — поясняет эксперт. — В большинстве случаев жертве удается найти оригинальную копию одного зашифрованного файла. Она может быть на отключенном флеш-накопителе, внешнем диске, в почтовом ящике, в облачном хранилище, на другом ПК и т.п. В случае с CryptXXX, если жертва найдет крупный оригинал, он позволит расшифровать все затронутые файлы такого же или меньшего размера».

CryptXXX был обнаружен исследователями из Proofpoint 15 апреля. На тот момент в схеме доставки был задействован Angler, посредством которого раздавался Bedep, загружавший криптоблокер и Dridex. Присутствие Bedep навело исследователей на мысль, что CryptXXX может быть способен на нечто большее, чем вымогательство. Кликер Bedep и ранее использовался в многочисленных атаках для доставки других зловредов — к примеру, похитителя паролей Pony. В данном случае оказалось, что CryptXXX умеет воровать данные из IM-, FTP- и почтовых клиентов, а также из браузера, в том числе куки.

Вымогатель Reveton никак не проявлял себя с февраля 2015 года, когда он вдруг всплыл в ходе эксплойт-кампании. Эксперты Proofpoint обнаружили полдюжины признаков сходства CryptXXX и Reveton: оба они написаны на Delphi, используют один и тот же протокол для связи с C&C, в обоих задана задержка атаки на подключенные диски.

Категории: Вредоносные программы, Главное, Кибероборона