El malware “TorrentLocker” combina CryptoLocker, CryptoWall utilizando claves de BitTorrent en el Registro de Windows, por un rescate

Un mortal malware de ‘Ransomware’ está infectando a los usuarios de BitTorrent. Un

informe de blog publicado por iSIGHT Partners dice que este ransomware, al que ellos han denominado TorrentLocker, es un cifrador de archivos. Una vez que infecta el sistema, cifra casi todos los archivos y carpetas importantes utilizando el algoritmo Rijndael (cifrado simétrico). Luego, el malware envía un mensaje de rescate que informa a la víctima que sus archivos han sido cifrados por el “virus CryptoLocker”, y la página de rescate. iSIGHT Partners también señaló que la sección de preguntas frecuentes de este malware es similar a la del malware CryptoWall.

iSIGHT Partners han denominado al ransomware ‘TorrentLocker’ porque su configuración reside en el Registro de Windows en HKCUSoftwareBit Torrent ApplicationConfiguration. Los investigadores dijeron que no pudieron encontrar evidencia de que este malware se esté vendiendo en foros subterráneos en Tor hasta el día de hoy.

**

Hasta ahora, el malware TorrentLocker se está distribuyendo a través de mensajes de spam y las víctimas son usuarios con sede en Australia. Al igual que con otros ransomware, la tarifa de rescate debe pagarse en Bitcoin, pero la cantidad mostrada en el mensaje de rescate está en dólares australianos. Además, los vendedores de Bitcoin recomendados están todos ubicados en Australia. Richard Hummel de iSIGHT Partners dijo que, “También puede hacer que las víctimas asuman que sus archivos están codificados en RSA-2048, un método de cifrado posiblemente más seguro que el algoritmo Rijndael utilizado para cifrar archivos en TorrentLocker.” Las claves señaladas en este malware por iSIGHT Partners son:

2. TorrentLocker utiliza temas y nombres del ransomware CryptoLocker y CryptoWall, pero es muy diferente a nivel de código y se cree que es una nueva cepa de ransomware.*

4. El malware primero se conecta a un servidor de comando y control (C&C) a través de comunicaciones seguras e intercambia un certificado antes de cifrar el malware.*

6. El malware utiliza el algoritmo Rijndael para el cifrado de archivos. Este es un cifrado simétrico y utilizará una contraseña almacenada localmente o recuperada del servidor de los atacantes remotos para el cifrado.*

El hecho de que TorrentLocker esté suplantando a CryptoLocker ha hecho que los investigadores crean que será tan notorio como CryptoLocker, pero por otro lado, también puede ser fácil de interrumpir. Como fue el caso con CryptoLocker, el TorrentLocker también se comunica con el servidor de comando y control antes de intentar cifrar los archivos. Así que si las empresas de AV y seguridad derriban el servidor de comando y control, el TorrentLocker se desmoronará porque sin comunicarse con el servidor C&C no cifrará los archivos.

**

El lector recordará que CryptoLocker fue eliminado utilizando la misma técnica y los investigadores de FireEye y Fox-IT también lanzaron un servicio gratuito llamado ‘DecryptoLocker’ que ayudó a las víctimas a recuperar sus archivos cifrados que fueron cifrados por el notorio CryptoLocker.