Le malware “TorrentLocker” combine CryptoLocker et CryptoWall en utilisant des clés BitTorrent dans le registre Windows, pour rançon

Un malware ‘Ransomware’ mortel infecte les utilisateurs de BitTorrent. Un

rapport de blog publié par iSIGHT Partners indique que ce ransomware, surnommé TorrentLocker par eux, est un encryptor de fichiers. Une fois qu’il infecte le système, il crypte presque tous les fichiers et dossiers importants en utilisant l’algorithme Rijndael (chiffre symétrique). Le malware envoie ensuite un message de rançon qui informe la victime que ses fichiers ont été cryptés par le “virus CryptoLocker”, et la page de rançon. iSIGHT Partners a également noté que la section FAQ de ce malware est similaire à celle du malware CryptoWall.

iSIGHT Partners a surnommé le ransomware ‘TorrentLocker’ parce que sa configuration réside dans le registre Windows dans HKCUSoftwareBit Torrent ApplicationConfiguration. Les chercheurs ont déclaré qu’ils n’avaient pas trouvé de preuves que ce malware soit vendu sur des forums souterrains sur Tor à ce jour.

**

À l’heure actuelle, le malware TorrentLocker est distribué via des messages spam et les victimes sont des utilisateurs basés en Australie. Comme pour d’autres ransomwares, la rançon doit être payée en Bitcoin, mais le montant indiqué dans le message de rançon est en dollars australiens. De plus, les vendeurs de Bitcoin recommandés sont tous situés en Australie. Richard Hummel d’iSIGHT Partners a déclaré que, “Cela peut également amener les victimes à supposer que leurs fichiers sont codés en RSA-2048, une méthode de cryptage potentiellement plus sécurisée que l’algorithme Rijndael utilisé pour crypter les fichiers dans TorrentLocker.” Les points clés notés dans ce malware par iSIGHT Partners sont :

2. TorrentLocker utilise des thèmes et des noms provenant des ransomwares CryptoLocker et CryptoWall, mais est très différent au niveau du code et est considéré comme une nouvelle souche de ransomware.*

4. Le malware se connecte d’abord à un serveur de commande et de contrôle (C&C) via des communications sécurisées et échange un certificat avant de crypter le malware.*

6. Le malware utilise l’algorithme Rijndael pour le cryptage des fichiers. C’est un chiffre symétrique et utilisera un mot de passe soit stocké localement soit récupéré depuis le serveur des attaquants à distance pour le cryptage.*

Le fait que TorrentLocker imite CryptoLocker a amené les chercheurs à croire qu’il sera aussi notoire que CryptoLocker, mais d’un autre côté, il pourrait également être facile de le perturber. Comme c’était le cas avec CryptoLocker, le TorrentLocker communique également avec le serveur de commande et de contrôle avant d’essayer de crypter les fichiers. Donc, si les entreprises AV et de sécurité mettent hors service le serveur de commande et de contrôle, le TorrentLocker s’effondrera car sans communiquer avec le serveur C&C, il ne pourra pas crypter les fichiers.

**

Le lecteur se souviendra que CryptoLocker a été éliminé en utilisant la même technique et que des chercheurs de FireEye et Fox-IT ont également lancé un service gratuit appelé ‘DecryptoLocker’ qui a aidé les victimes à récupérer leurs fichiers cryptés qui avaient été cryptés par le notoire CryptoLocker.