Новая разновидность вымогательской программы CTB-Locker осуществляет передачу ключей для восстановления зашифрованной информации в Bitcoin-транзакциях. Такой способ является более надежным, чем отправка ключей через сеть инфицированных сайтов-посредников, которые могут быть ликвидированы в любой момент.
Первые вариации CTB-Locker, зафиксированные в минувшем году, инфицировали персональные компьютеры. Спустя несколько месяцев разработчики решили изменить тактику и разработать разновидность троянской программы, поражающей не только пользовательские компьютеры, но и веб-ресурсы. Новая версия CTB-Locker осуществляет шифровку файлов, размещенных на сервере, после чего требует перечислить деньги операторам программы.
Примечательно, что ранние версии троянской программы давали жертве возможность бесплатно расшифровать несколько файлов. Видимо, злоумышленники хотели таким образом убедить пользователей в своей честности. Недавно эксперты из Sucuri заметили, что стоимость этого процесса немного выросла. CTB-Locker теперь требует за пробную расшифровку сумму в 0,0001 биткоина, что эквивалентно 3 рублям.
Вероятно, целью данного символического повышения цены является необходимость проверки процесса получения выкупа с помощью сети инфицированных сайтов-посредников. Поскольку подобные сайты могут быть очищены от вредоносных программ, операторы CTB-Locker могут потерять связь со своими посредниками.
В новой версии CTB-Locker ключи не отправляются через сайты-посредники, а хранятся в блокчейне Bitcoin. Для каждого зашифрованного сервера генерируется свой адрес Bitcoin. Если на адрес приходят деньги, то создается новая транзакция с ключом для расшифровки, содержащимся в метаданных. Полученная от пострадавшего сумма в 0,0001 биткоина необходима для оплаты комиссии. Троянские программы на инфицированных серверах ведут мониторинг новых транзакций с ключами в блокчейне, используя программный интерфейс blockexplorer.com.
Данный метод коммуникации является надежным, но эксперты Sucuri выражают сомнение в том, что он сможет помочь разработчикам CTB-Locker. Неуклонное снижение суммы выкупа свидетельствует о том, что киберпреступникам никто не платит. Видимо, владельцы веб-серверов имеют в своем распоряжении резервные копии всех файлов, запугать их не так просто, как, например, обычных пользователей.