Так исторически сложилось, что разработчикам вредоносных программ для обхода защитных приложений приходится быть на самом острие информационно-технического прогресса, выдумывая в своих продуктах либо новые подходы, либо задействуя самые современные технологии. Одним из таких "прорывных" экземпляров оказался троян-шифровальщик CTB-Locker, обнаруженный «Лаборатории Касперского» в конце июня сего года. Так новый шантажист действует по классической схеме: прописывает свой файл в планировщик задач системы, ищет файлы с определенными расширениями, кодирует их и показывает пользователю требование выкупа. Вроде бы, типичное поведение типичного вымогателя, если бы не тот примечательный факт, что командный сервер злоумышленников находится в сети Tor.
В этом заключается принципиальное отличие нового троянца от других вредоносных программ, прибегающих к анонимности Tor: если раньше злоумышленники пользовались легальным ПО от разработчиков Tor для включения компьютера в эту сеть, то в данном случае код взаимодействия реализован внутри самой вредоносной программы. Это позволяет ей пользоваться сетью Tor без использования сторонних исполняемых файлов и запуска дополнительных процессов. Более того, троянец, благодаря защищенному соединению с командным сервером, передает ключ кодировки таким образом, что перехват этих данных никак не поможет разблокировать пользовательские данные.
«Этот шифровальщик — представитель нового поколения троянцев-вымогателей. Его авторы применили как известные техники, «обкатанные» его многочисленными предшественниками, например, требование выкупа в валюте Bitcoin, так и абсолютно новые для данного класса вредоносного ПО решения. В частности, сокрытие командного сервера в анонимной сети Tor затрудняет поиск злоумышленников, а использованная необычная криптографическая схема делает расшифровку файлов невозможной даже при перехвате трафика между троянцем и сервером. Все вместе делает его опасной угрозой и одним из самых технологичных шифровальщиков на сегодняшний день», — отметил Федор Синицын, старший антивирусный аналитик «Лаборатории Касперского».
