CTB-Locker - вредонос-шифровальщик, работающий через анонимную сеть Tor


CTB-Locker (Лаборатория Касперского) - новый троян-шифровальщик, работающий через анонимную сеть Tor, которая маскирует ключ к расшифровыванию данных. Это и является особенностью данного вредоноса перед его сородичами.

Если простым языком, то зашифрованные данные не предоставляется возможности расшифровать. Т.к. троянская программа защищено передает ключ на сервер злоумышленников, который и маскируется в сети Tor.

Первые модификации CTB-Locker были нацелены на атаку англоязычных жертв, однако вскоре претерпели некоторые доработки и в результате получили поддержку русского языка. После этого удалось зафиксировать, что больше всего инцидентов зарегистрировано на территории СНГ, а единичные заражения - на территории:

  • Германии;
  • Болгарии;
  • Израиля;
  • ОАЭ;
  • Ливии.


Схема работы шифровальщика следующая. Троян добавляет свой исполняемый файл в список планировщика задач системы. После этого совершает поиск файлов с определенными расширениями, а при обнаружении производит их шифрование и показывает пользователю требование выкупа. Единственной новинкой, который обладает CTB-Locker - командный сервер злоумышленников находится в анонимной сети Tor, что ранее не встречалось среди шифровальщиков.

Да, раньше злоумышленники пользовались легальным ПО от разработчиков Tor для включения компьютера в эту сеть. Однако в данном случае, код взаимодействия реализован внутри вредоносной программы. Это позволяет ей пользоваться сетью Tor без использования сторонних исполняемых файлов и запуска дополнительных процессов.

Кроме этого обнаруженная модификация трояна отличается нестандартным подходом к шифрованию, при помощи которого происходит дополнительная защита соединения с командным сервером. По этой причине перехват отправляемой трояном-вымогателем информации, а именно уникального ключа, которым зашифрованы файлы, не поможет разблокировать данные пользователя.

Вот и получается, что CTB-Locker - это не что иное, нежели представитель нового поколения троянов-вымогателей. К нему были применены все известные и неизвестные техники, используемые в его многочисленных предшественниках или абсолютно новые для данного класса вредоносного ПО.

Подводя итоги, стоит отметить те функциональные особенности, которые делают его опасной угрозой и одним из самых технологичных шифровальщиков на сегодняшний день. А именно:

  • сокрытие командного сервера в анонимной сети Tor, что затрудняет поиск злоумышленников;
  • использованная необычная криптографическая схема, делающая расшифровку файлов невозможной даже при перехвате трафика между трояном и сервером.