Вредоносное ПО “TorrentLocker” сочетает в себе CryptoLocker, CryptoWall, используя ключи BitTorrent в реестре Windows для вымогательства

Смертельное вредоносное ПО «Вымогатель» заражает пользователей BitTorrent. A

Блог-отчет, опубликованный iSIGHT Partners, сообщает, что этот вымогатель, названный ими TorrentLocker, является шифровщиком файлов. Как только он заражает систему, он шифрует почти все важные файлы и папки, используя алгоритм Rijndael (симметричный шифр). Затем вредоносное ПО отправляет сообщение о выкупе, в котором информирует жертву о том, что их файлы были зашифрованы вирусом «CryptoLocker», и страницу с выкупом. iSIGHT Partners также отметили, что раздел FAQ этого вредоносного ПО похож на вредоносное ПО CryptoWall.

iSIGHT Partners назвали вымогатель «TorrentLocker», потому что его конфигурация находится в реестре Windows в HKCUSoftwareBit Torrent ApplicationConfiguration. Исследователи сообщили, что на сегодняшний день не смогли найти доказательства того, что это вредоносное ПО продается на подпольных форумах в Tor.

**

На данный момент вредоносное ПО TorrentLocker распространяется через спам-сообщения, и жертвами становятся пользователи, проживающие в Австралии. Как и в случае с другими вымогателями, выкуп должен быть выплачен в биткойнах, но сумма, указанная в сообщении о выкупе, в австралийских долларах. Более того, рекомендованные продавцы биткойнов все находятся в Австралии. Ричард Хаммел из iSIGHT Partners сказал, что «это также может заставить жертв предположить, что их файлы закодированы с помощью RSA-2048, возможно, более безопасного метода шифрования, чем алгоритм Rijndael, используемый для шифрования файлов в TorrentLocker». Ключевые моменты, на которые указали исследователи из iSIGHT Partners, следующие:

2. TorrentLocker использует темы и названия из вымогателей CryptoLocker и CryptoWall, но на уровне кода он очень отличается и считается новой разновидностью вымогателя.*

4. Вредоносное ПО сначала подключается к серверу командования и управления (C&C) через защищенные каналы связи и обменивается сертификатом перед шифрованием вредоносного ПО.*

6. Вредоносное ПО использует алгоритм Rijndael для шифрования файлов. Это симметричный шифр и будет использовать пароль, либо хранящийся локально, либо полученный с удаленного сервера злоумышленников для шифрования.*

Тот факт, что TorrentLocker подделывает CryptoLocker, заставил исследователей поверить, что он станет таким же печально известным, как CryptoLocker, но с другой стороны, его также может быть легко разрушить. Как и в случае с CryptoLocker, TorrentLocker также общается с сервером командования и управления перед попыткой зашифровать файлы. Поэтому, если антивирусные и охранные компании отключат сервер командования и управления, TorrentLocker развалится, потому что без общения с сервером C&C он не сможет зашифровать файлы.

**

Читатель вспомнит, что CryptoLocker был уничтожен с помощью той же техники, и исследователи из FireEye и Fox-IT также запустили бесплатный сервис под названием «DecryptoLocker», который помог жертвам восстановить их зашифрованные файлы, зашифрованные печально известным CryptoLocker.