Локер CriptoWall 4.0 создан в России

ИБ-исследователи из BitDefender считают, что новая версия программы-вымогателя CryptoWall 4.0 имеет российское происхождение. К такому выводу специалисты пришли после того, как выяснилось, что серверы, которые хакеры используют для рассылки вредоноса, расположены в России. Также экспертам стало известно о том, что JavaScript загружает полезную нагрузку с российских серверов.

Напомним, на прошлой неделе специалисты компаний Heimdal Security и BitDefender обнаружили новую, более скрытную версию программы-вымогателя CryptoWall. В последней версии CryptoWall реализованы модификации, позволяющие ей избегать обнаружения антивирусами, включая межсетевые экраны нового поколения. CryptoWall 4.0 зашифровывает не только сами файлы, но также их имена. Новая техника увеличивает замешательство пользователей, тем самым повышая шансы на быструю выплату выкупа.

ИБ-исследователи сообщили, что файлы жертвы зашифровываются с помощью алгоритма AES 256, а ключ – с помощью RSA 2048. Кибератаки, в которых использовался Cryptowall 4.0, были зафиксированы в Италии, Германии, Индии, Румынии, Испании, США, Китае, Кении, Южной Африке, Кувейте и на Филиппинах. Эксперты выяснили, что вымогатель не зашифровывает пользовательские файлы, если обнаруживает, что компьютер использует русский язык.

Стоит отметить, что по предварительным оценкам, ущерб от активности вредоноса CryptoWall 3.0 составил $325 млн. Предполагается, что CryptoWall 4.0 превзойдет результат своего предшественника.