Вариант программ-вымогателей TorrentLocker нацеливается на японских пользователей

Table Of Contents

• Вариант программ-вымогателей TorrentLocker, написанный специально для японских пользователей
• О TorrentLocker
• Атака

Вариант программ-вымогателей TorrentLocker, написанный специально для японских пользователей

Новый вариант программ-вымогателя TorrentLocker был обнаружен экспертами по безопасности компании Symantec, который используется в дикой природе. Это первый зарегистрированный случай программ-вымогателя, специально нацеленного на пользователей в Японии. Хотя Япония не нова для программ-вымогателей, ни один киберпреступник ранее не пытался так конкретно атаковать японских пользователей. Исследователи Symantec утверждают, что этот программ-вымогатель является локализованным вариантом TorLocker. Вредоносное ПО шифрует файлы с определенными расширениями на скомпрометированном компьютере и требует, чтобы пользователь заплатил, чтобы расшифровать файлы. Исследователи Symantec также подтвердили, что существует несколько вариантов этого конкретного японского программ-вымогателя.

О TorrentLocker

Этот новый тип программ-вымогателя является «собратом» CryptoLocker и CrptoWall и использует связь с сервером командования и управления через сеть анонимайзеров Tor. TorrentLocker использует темы и названия из программ-вымогателей CryptoLocker и CryptoWall, но на уровне кода он очень отличается и считается новой разновидностью программ-вымогателей. Вредоносное ПО сначала подключается к серверу командования и управления (C&C) через защищенные каналы связи и обменивается сертификатом перед шифрованием вредоносного ПО. Вредоносное ПО использует алгоритм Rijndael для шифрования файлов. Это симметричный шифр, который будет использовать пароль, либо хранящийся локально, либо полученный с удаленного сервера злоумышленников, для шифрования.

Атака

Программ-вымогатели обычно распространяются через как можно больше средств, пытаясь заразить ничего не подозревающих пользователей, однако наиболее предпочтительным средством для киберпреступников является целенаправленная фишинг-атака. Вредоносное ПО помещается в безобидное электронное письмо в качестве вложения, которое жертва загружает, думая, что это подлинный файл. Как только программ-вымогатель загружен на машину, он начинает шифровать все файлы, которые ему приказано сделать через программу, и запрашивает оплату — обычно в биткойнах — для расшифровки файлов, тем самым делая данные пользователя заложником. Этот конкретный программ-вымогатель также работает аналогичным образом с добавлением того, что все инструкции написаны на японском.

TorLocker использовался в атаках программ-вымогателей по всему миру. Угроза является частью партнерской программы, в рамках которой оператор программы предоставляет участникам инструменты для создания пользовательских программ-вымогателей, доступ к панели управления TorLocker для отслеживания инфекций и различные файлы, которые можно использовать вместе с вредоносным ПО. В обмен участники отдают часть прибыли от атаки оператору партнерской программы.

Вредоносное ПО распространяется через фишинговую страницу, как показано на изображении выше, которая отображает поддельную страницу установщика Adobe Flash Player. Если пользователь нажимает на желтую ссылку, чтобы загрузить этот поддельный Flash Player, его просят загрузить и выполнить файл установки для установки плагина. Однако файл не подписан цифровой подписью и не содержит типичного значка, используемого в установщиках Flash Player. Эти два факта указывают на то, что это поддельное приложение, содержащее вредоносное ПО, которое только внимательные пользователи смогут заметить. Как только файл загружен и установлен, программ-вымогатель приступает к шифрованию данных пользователя.

Как только вредоносное ПО завершает свою работу, пользователю показывается этот экран. Сообщение затем просит пользователя заплатить, чтобы разблокировать свои файлы. Запрашиваемый выкуп варьируется от 40,000 иен до 300,000 иен (примерно от 500 до 3,600 долларов США). Япония быстро приближается к новогодним праздникам, что является удобным временем для киберпреступников, чтобы нанести удар. Вероятно, злоумышленник хочет максимально использовать ничего не подозревающих пользователей, просматривающих интернет.

Symantec имеет следующие рекомендации для предотвращения или смягчения инфекций программ-вымогателей:

• Обновите программное обеспечение, операционную систему и плагины браузера на вашем компьютере, чтобы предотвратить использование известных уязвимостей злоумышленниками.

• Используйте комплексное программное обеспечение безопасности, такое как Norton Security, чтобы защитить себя от киберпреступников.

• Регулярно создавайте резервные копии любых файлов, хранящихся на вашем компьютере. Если ваш компьютер был скомпрометирован программ-вымогателем, эти файлы могут быть восстановлены после удаления вредоносного ПО с компьютера.

• Никогда не платите выкуп. Нет гарантии, что злоумышленник расшифрует файлы, как обещано, после получения оплаты.