Вирус, вымогающий биткоины, распространяется через спам

Фирмы McAfee Labs и Symantec выпустили предупреждения о том, что зафиксировано распространение через спам программы CTB-Locker, вымогающей выкуп в биткоинах за разблокировку системы.

Программа, название которой расшифровывается как «Curve Tor Bitcoin Locker», впервые была обнаружена еще в прошлом году. Однако только сейчас ее рассылка началась через спам. Попав на компьютер, программа зашифровывает файлы – как ни странно, чаще всего это изображения в формате .jpg. Жертва должна заплатить выкуп за дешифрацию данных.
Как сообщает Symantec, процесс работы с криптовалютным вирусом «весьма затруднителен». При установке вирус вводит вредоносный код в файл svchost.exe, создавая запланированный процесс на перемещение и шифрование файлов. Далее код зашифровывает файлы по эллиптической кривой, которая, судя по всему, эквивалентна шифровке RSA с 3,072-битным ключом. После окончания шифрования пользователь получает об этом всплывающее сообщение, которое также требует уплаты выкупа.

В сообщении содержится 96-часовой обратный отсчет. Если выкуп в биткоинах не будет выплачен в этот срок, ключ дешифровки будет уничтожен, и все поврежденные файлы останутся зашифрованными навсегда. Также сообщение отражает список зараженных файлов и данные о том, как провести платеж и получить ключ дешифровки. Вирус распространяется через спам в виде zip-архива. В заархивированном файле содержится автозагрузка вируса.

Пока зарегистрированы следующие названия архивов, в которых содержится вирус:
malformed.zip
plenitude.zip
inquires.zip
simoniac.zip
faltboat.zip
incurably.zip
payloads.zip
dessiatine.zip

Помимо очевидных процедур безопасности (например, не открывать архивы, пришедшие от неизвестных отправителей), также рекомендуется воспользоваться антивирусом. Если жертва не захочет или не сможет заплатить выкуп, файлы так и останутся в нечитаемой форме, так как способ их восстановления неизвестен. На этот случай рекомендуют создать резервные копии.