Malware “TorrentLocker” combina CryptoLocker, CryptoWall usando chaves BitTorrent no Registro do Windows, para resgate

A mortal malware de ‘Ransomware’ está infectando usuários do BitTorrent. Um

relatório de blog publicado pela iSIGHT Partners diz que esse ransomware, apelidado de TorrentLocker por eles, é um criptografador de arquivos. Uma vez que infecta o sistema, ele criptografa quase todos os arquivos e pastas importantes usando o algoritmo Rijndael (cifra simétrica). O malware então envia uma mensagem de resgate que informa à vítima que seus arquivos foram criptografados pelo “vírus CryptoLocker” e a página de resgate. A iSIGHT Partners também observou que a seção de FAQ deste malware é semelhante ao malware CryptoWall.

A iSIGHT Partners apelidou o ransomware de ‘TorrentLocker’ porque sua configuração reside no Registro do Windows em HKCUSoftwareBit Torrent ApplicationConfiguration. Os pesquisadores disseram que não conseguiram encontrar evidências de que esse malware estivesse sendo vendido em fóruns subterrâneos no Tor até hoje.

Atualmente, o malware TorrentLocker está sendo distribuído via mensagens de spam e as vítimas são usuários baseados na Austrália. Assim como outros ransomwares, a taxa de resgate deve ser paga em Bitcoin, mas o valor mostrado na mensagem de resgate está em Dólares Australianos. Além disso, os vendedores de Bitcoin recomendados estão todos localizados na Austrália. Richard Hummel da iSIGHT Partners disse que, “Isso pode também fazer com que as vítimas assumam que seus arquivos estão codificados em RSA-2048, um método de criptografia possivelmente mais seguro do que o algoritmo Rijndael usado para criptografar arquivos no TorrentLocker.” As principais observações feitas sobre esse malware pela iSIGHT Partners são:

2. O TorrentLocker usa temas e nomes do ransomware CryptoLocker e CryptoWall, mas é muito diferente a nível de código e acredita-se que seja uma nova cepa de ransomware.

3. O malware primeiro se conecta a um servidor de comando e controle (C&C) por meio de comunicações seguras e troca um certificado antes de criptografar o malware.

4. O malware usa o algoritmo Rijndael para criptografia de arquivos. Esta é uma cifra simétrica e usará uma senha armazenada localmente ou recuperada do servidor remoto dos atacantes para criptografia.

O fato de o TorrentLocker estar imitando o CryptoLocker fez os pesquisadores acreditarem que ele será tão notório quanto o CryptoLocker, mas, por outro lado, também pode ser fácil de interromper. Assim como aconteceu com o CryptoLocker, o TorrentLocker também se comunica com o servidor de comando e controle antes de tentar criptografar os arquivos. Portanto, se as empresas de AV e segurança derrubarem o servidor de comando e controle, o TorrentLocker desmoronará porque, sem se comunicar com o servidor C&C, não criptografará os arquivos.

O leitor se lembrará que o CryptoLocker foi eliminado usando a mesma técnica e pesquisadores da FireEye e Fox-IT também lançaram um serviço gratuito chamado ‘DecryptoLocker’ que ajudou as vítimas a recuperar seus arquivos criptografados que foram criptografados pelo notório CryptoLocker.