Обнаружено вымогательское ПО, подражающее TorrentLocker

reagent

Опытный
Ветеран пробива
Регистрация
4/11/14
Сообщения
1.973
Репутация
5.495
Реакции
7.167
RUB
0
Несмотря на идентичные уведомления с требованием выкупа, CryptoFortress и TorrentLocker являются абсолютно разными программами.
cryptofortress_ransom_page.png

ИБ-компания ESET о новом вымогательском ПО CryptoFortress, подражающем печально известному TorrentLocker. Впервые о шифровальщике стало известно из публикации исследователя, известного под псевдонимом Kafeine. По словам эксперта, уведомление с требованием выкупа и страница для оплаты у CryptoFortress такие же, как TorrentLocker. Тем не менее, проанализировав вредонос, исследователи из ESET определили, что обе программы существенно различаются.

Похоже, что создатели CryptoFortress просто похитили шаблоны HTML и CSS, поскольку вредоносный код и схемы совершенно разные. По данным ESET, между CryptoFortress и TorrentLocker существует ряд различий. К примеру, последняя распространяется через спам-письма, в то время как CryptoFortress – с помощью набора эксплоитов Nuclear Pack.

TorrentLocker соединяется с жестко закодированным C&C-сервером, содержащем страницу с требованием выкупа. В случае с CryptoFortress уведомление встроено в само ПО. Отметим, что требуемая за расшифровку файлов сумма также разнится (CryptoFortress вымогает 1 биткоин). В TorrentLocker использована криптографическая библиотека LibTomCrypt, и шифруется 2 Мб в начале файла, тогда как в CryptoFortress - Microsoft CryptoAPI, и шифруются первые 50% файла до 5 Мб. Оба шифровальщика требуют выкуп в биткоинах.

Что касается общих черт, то в обеих программах использован 1024-битный ключ шифрования RSA, на чем их схожесть заканчивается.
 
Сверху Снизу