Вредоносная программа , маскирующаяся под более известный шифровальщик CTB-Locker, была обнаружена аналитиками Bleeping Computer и Check Point.
Программы, которые подражают более известным аналогам, существовали и раньше. Недавно специалисты нашли вымогательскую программу PowerWare, старательно выдававшую себя за Locky.
Код CTB-Faker является некачественным, а вместо надежного алгоритма шифрования там применяются обычные архивы с парольной защитой.
По словам специалистов, в настоящее время распространение CTB-Faker осуществляется прежде всего через сайты для взрослых, где пользователей обманным путем вынуждают произвести загрузку ZIP-архива с вредоносным исполняемым файлом.
После «распаковки» CTB-Faker начнет перемещение файлов пользователя в архив с парольной защитой Users.zip, который находится в корневой папке диска C. Для этих целей используется обыкновенный архиватор WinRAR. По завершении процесса перемещения данных вымогательская программа запускает процедуру перезагрузки компьютера, после которой на рабочем столе появляется сообщение с требованием выкупа, полностью копирующее уведомление вымогательской программы CTB-Locker. Вероятно, злоумышленники хотят запугать своих жертв именем известной и опасной программы.
По словам специалистов Bleeping Computer, благодаря этой схеме авторы CTB-Faker уже заработали около 577 биткоинов или 381000 долларов. Эксперты подсчитали, что приблизительное количество пользователей, заплативших выкуп, достигает около 7200.
Несмотря на то, что в сообщении с требованием выкупа указано, что в работе CTB-Faker используется комбинация алгоритмов SHA-512 и RSA-4096, в действительности шифровальщик задействует стандартное шифрование AES-256, которое применяется для создания архивов WinRAR.
Эксперты выяснили, что пароль WinRAR-архива был закодирован в исходном исполняемом файле. Таким образом, извлечение данных возможно и без оплаты выкупа. По словам эксперта Bleeping Computer Лоренса Абрамса, он согласен оказать помощь всем, кто пострадал от шифровальщика, восстановить данные при наличии исходного файла.