CriptoWall 4.0 предположительно создан в России


DeffenderИсследователи из компании BitDefender пришли к выводу, что новая версия программы-вымогателя CryptoWall 4.0 имеет российское происхождение. Такое заключение эксперты сделали, когда выяснили, что серверы, которые злоумышленники используют для рассылки вредоноса, расположены в России. Кроме того, JavaScript загружает полезную нагрузку с российских серверов.

Напомним, новая версия трояна-вымогателя CryptoWall была выявлена специалистами компаний Heimdal Security и BitDefender на прошлой неделе. В последней версии своего "детища" злоумышленники реализовали модификации, позволяющие ему избегать обнаружения антивирусами, включая межсетевые экраны нового поколения. Вымогатель CryptoWall 4.0 теперь шифрует, как сами файлы, так и их имена. Кроме того, новая техника увеличивает замешательство пользователей, тем самым повышая шансы на быструю выплату выкупа.

Установлено, что файлы жертвы зашифровываются с помощью алгоритма AES 256, а ключ – с помощью RSA 2048. Кибератаки с использованием Cryptowall 4.0 были зафиксированы в:

  • Италии, Германии, Индии, Румынии, Испании, США, Китае, Кении, Южной Африке, Кувейте и на Филиппинах.


Интересно, но вымогатель не зашифровывает пользовательские файлы, если в процессе заражения выясняется, что компьютер использует русский язык.

По предварительным оценкам, ущерб от активности вредоноса CryptoWall 3.0 составил $325 млн. Эксперты считают, что CryptoWall 4.0 превзойдет результат своего предшественника.


Обновлено (10.11.2015 19:57)