Имитатор вымогателя CTB-Locker использует WinRAR для шифрования

Олег Иванов 25 Июля 2016 - 18:00

Домашние пользователи

Windows

Check Point

Системы защиты личных данных

Системы защиты данных от потери

Программы-вымогатели

Программы-шифровальщики

...

Имитатор вымогателя CTB-Locker использует WinRAR для шифрования

С начала этого года появилось множество не только новых шифровальщиков, но также их подражателей и имитаторов. Может показаться странным, что часть вымогателей пытается выдать себя за другие шифровальщики, однако недавно обнаруженный CTB-Faker, представляющийся как CTB-Locker, доказывает, что это реальность.

Несмотря на то, что в записке с условиями выкупа CTB-Faker утверждается, что файлы пользователя зашифрованы CTB-Locker, это далеко от истины. В отличие от CTB-Locker, который инжектируется в explorer.exe, чтобы запускаться со стартом системы, CTB-Faker использует различные скрипты и WinRAR, чтобы зашифровать файлы.

По словам исследователей Check Point, новые семейства вымогателей очень часто используют WinRAR, так как в ней довольно надежная система защиты паролем. Более того, в этом приложении есть возможность удалить исходные файлы после того, как они были сжаты и зашифрованы.

После того, как шифровальщик попал на систему, требуется, чтобы пользователь запустил его. После запуска вымогатель запускает еще одну свою копию, требующую прав администратора, далее вредоносная программа запускает четыре копии wscript.exe с различными VBS-скриптами, созданными CTB-Faker. Первый из этих процессов ответственен за шифрование файлов.

Тщательный анализ вредоносной программы показал, что она шифрует файлы в формат .zip, удаляет все исходные файлы после сжатия и шифрования, а также запускает WinRAR в фоновом режиме. В коде вымогателя также есть аргументы для установки уровня компрессии, для установки папки назначения для зашифрованных файлов, а также для выключения компьютера после шифрования.

Также исследователи обнаружили серьезную брешь в коде вымогателя – аргумент p4w1q3x5y8z использовался, чтобы установить пароль для зашифрованных архивов p4w1q3x5y8z. Таким образом, это позволяло бесплатно и сразу же расшифровать файлы.

По мнению исследователей, вымогатель не проявляет никакой сетевой активности, это значит, что он не обменивается с внешним сервером информацией и вышеупомянутый ключ p4w1q3x5y8z является единственным, используемым для шифрования.

Согласно BleepingComputer, вымогатель использует два Bitcoin-адреса и только один из них проявлял активность на момент исследования. Злоумышленники используют два адреса электронной почты для связи с пользователями: help(at)openmailbox.org и miley(at)openmailbox.org.

Следующая главная новость »

Удалённый доступ 2026: почему VPN устарел и что вместо него?
Регистрируйтесь на эфир!

Яков Шпунт 08 Мая 2026 - 11:25

Соответствие законодательству РФ Домашние пользователи Государство Системы контентной веб-фильтрации

Суд запретил материалы ЯПлакалъ, но РКН не нашёл, что именно блокировать

Три юмористических сайта, материалы которых запретил суд, не попали в реестр заблокированных ресурсов из-за отсутствия в судебном решении конкретного перечня запрещённых материалов и их адресов.

Роскомнадзор не нашёл в документе указаний на страницы с контентом, признанным «унижающим человеческое достоинство, а также направленным на дискриминацию и оскорбление лиц по признакам национальной и расовой принадлежности».

Чертановский суд Москвы вынес решение о запрете материалов, размещённых на трёх ресурсах юмористической направленности.

Среди них оказался один из старейших развлекательных порталов «ЯПлакалъ», одна из известных площадок для распространения фотожаб и демотиваторов, а также сайты «Анекдотов стрит» и «Анекдото.net». Истцом по делу выступала прокуратура.

Как указано в решении суда, запрету подлежат «материалы (юмористический контент в текстовом формате), содержащие высказывания, которые можно квалифицировать как унижающие человеческое достоинство, а также направленные на дискриминацию и оскорбление лиц по признакам национальной и расовой принадлежности». При этом доступ к таким материалам является открытым.

Однако «ЯПлакалъ» и «Анекдотов стрит» продолжают открываться. Эти ресурсы также не внесены в реестр запрещённых сайтов, который ведёт Роскомнадзор.

Как сообщили в пресс-службе регулятора в ответ на запрос ТАСС, решение суда поступило в ведомство 6 мая. Однако в нём не указаны конкретные материалы, которых касается запрет.

«В решении не указаны конкретные материалы, которые признаются запрещёнными, а также конкретные указатели страниц сайтов, на которых они размещены, в связи с чем ведомство направит в суд запрос для уточнения конкретных страниц с запрещённой информацией», — заявили в Роскомнадзоре.

Удалённый доступ 2026: почему VPN устарел и что вместо него?
Регистрируйтесь на эфир!