На этой неделе началась массовая почтовая рассылка, с использованием которой киберпреступники распространяют опасную вредоносную программу-загрузчик, сообщают эксперты компании «Доктор Веб». Основное предназначение этого приложения — скачивание и запуск на инфицированном компьютере троянца-шифровальщика Trojan.Encoder.686. Файлы, пострадавшие от его действия, в настоящее время не поддаются расшифровке.
Троянец-загрузчик, добавленный в вирусную базу Dr.Web под наименованием Trojan.DownLoad3.35539, распространяется злоумышленниками при помощи массовой спам-рассылки в виде вложенного в сообщения электронной почты ZIP-архива. Специалисты «Доктор Веб» зафиксировали случаи распространения сообщений, содержащих опасное вложение, на разных языках, в том числе английском, немецком и даже грузинском. Архив содержит .SCR-файл — к данному типу файлов по умолчанию относятся скринсейверы Windows. Подобные файлы являются исполняемыми. При попытке запуска файла из архива Trojan.DownLoad3.35539 извлекает из своего тела, сохраняет на диск и открывает на экране атакуемого компьютера текстовый RTF-документ.
Одновременно с этим Trojan.DownLoad3.35539 устанавливает соединение с одним из принадлежащих злоумышленникам удаленных серверов, загружает оттуда архив, содержащий троянца-шифровальщика Trojan.Encoder.686, после чего распаковывает и запускает его. Успешно инициализировавшись на зараженном компьютере, Trojan.Encoder.686 выполняет шифрование пользовательских файлов, после чего демонстрирует на экране заранее сформированное злоумышленниками сообщение «Your personal files are encrypted by CTB-Locker».
Вирусописатели отводят своим жертвам лишь 96 часов на оплату расшифровки файлов, угрожая при этом, что в случае отказа от сотрудничества все зашифрованные файлы будут потеряны навсегда. При этом за подробной информацией об условиях и сумме выкупа киберпреступники предлагают пострадавшим пользователям обратиться на сайт, расположенный в анонимной сети TOR.
Троянец-шифровальщик Trojan.Encoder.686 собран с использованием библиотек TOR и OpenSSL, криптографию которых активно использует. В процессе шифрования пользовательских файлов энкодер активно эксплуатирует возможности CryptoAPI с целью получения случайных данных и эллиптическую криптографию, в связи с чем расшифровка пострадавших от его действия файлов в настоящий момент невозможна.
«Доктор Веб» предупреждает пользователей о необходимости проявлять бдительность и не запускать присланные по e-mail исполняемые файлы, не открывать вложения в сообщениях электронной почты, полученных из сомнительных источников, а также напоминает о целесообразности своевременного резервного копирования всех представляющих ценность данных.