Недоработка в коде трояна-шантажиста


SymantecСпециалисты из компании Symantec проанализировали вредоносную программу CryptoDefence, которая появилась в прошлом месяце.

Напомним, CryptoDefence - семейство вредоносных программ, предназначенных для шифрования пользовательских файлов, а затем требуют оплату за их расшифровку.

Интересный нюанс выявили специалисты при детальном изучении данной вредоносной программы - программа оставляет ключи для дешифрования на зараженном компьютере.

CryptoDefence использует инфраструктуру Microsoft и Windows API для генерации шифровой последовательности и шифрования/дешифрования данных. Файлы шифруются при помощи RSA-ключей с длиной последовательности 2048 бит. Здесь применяются закрытые ключи, необходимые для дешифрования контента и отправки его на сервер атакующего, чтобы вернуть их клиенту, когда тот выплатит требуемую сумму.

Однако, как выяснили специалисты, авторы вредоноса не сумели правильно реализовать алгоритм шифрования и не смогли учесть, что частный ключ по умолчанию сохраняется на компьютере пользователя в папке, откуда целевой файл вызывал соответствующие системные функции. Другими словами, авторы атаки оставляли ключи от шифров на компьютере пользователей, сами этого не зная, а это позволяло пользователям без каких-либо платежей самим расшифровать зашифрованные вредоносом данные.

Однако авторы атаки все же требовали от своих жертв сумму в $500 или евро за расшифровку. При этом, если жертва не выплачивала требуемую сумму в течение 4 дней, то на 5-й день сумма требований удваивалась. Таким образом, по предварительным данным Symantec, организаторам кампании удавалось зарабатывать на шантаже около $34 тыс. в месяц. А исходя из срабатываний антивирусного софта Symantec, CryptoDefence сумел заразить около 11 тыс. хостов в более чем 100 странах. При этом большая часть заражений пришлась на:

  • США;
  • Великобританию;
  • Канаду;
  • Австралию;
  • Японию;
  • Индию;
  • Италию;
  • Нидерланды.

Обновлено (01.04.2014 13:51)