ESET поймала авторов шифратора на плагиате

ESET поймала авторов шифратора на плагиате

Специалисты антивирусной компании ESET проанализировали троян-шифратор CryptoFortress. Вредоносная программа CryptoFortress распространяется с помощью набора эксплойтов Nuclear Pack. Троян шифрует документы, изображения и некоторые другие файлы в популярных форматах. Когда шифрование завершено, он выводит на экран требование выкупа за восстановление доступа к файлам. На 22 марта сумма выкупа составляла 1 биткоин (около 17 000 рублей или 275 долларов).

Некоторые исследователи безопасности указывали на сходство CryptoFortress и другого известного шифратора TorrentLocker. Об этом, по их мнению, свидетельствуют почти идентичные сообщения с требованием выкупа и страница платежа. Изучив образцы вредоносного ПО, эксперты ESET выяснили, что два шифратора диаметрально отличаются друг от друга. Злоумышленники, стоящие за вредоносными кампаниями, используют разный код, схемы распространения и техники шифрования. При этом сходство шифраторов указывает на то, что авторы программы CryptoFortress украли шаблоны HTML у «коллег» — создателей TorrentLocker.

По данным системы телеметрии, сегодня вредоносные кампании CryptoFortress и TorrentLocker действуют одновременно.

Сравнительные характеристики TorrentLocker и CryptoFortress:

  • Распространение: Спам; Набор эксплойтов
  • Шифрование файлов: AES-256 CBC; AES-256 ECB
  • Связь с удаленным сервером: Да; Нет
  • Криптографическая библиотека: LibTomCrypt; Microsoft CryptoAPI
  • Зашифрованная часть файла: 2 Мб в начале файла; Первые 50% файла, до 5 Мб
  • Выкуп: Биткоин (сумма варьируется); 1 биткоин

Источник: ferra