Специалисты ESET проанализировали новые версии трояна-вымогателя TorrentLocker.
Шифратор, известный с 2014 года, распространяется в фишинговых письмах под видом официальных уведомлений почтовых служб, телекоммуникационных или энергетических компаний. Письмо содержит ссылку на исполняемый файл TorrentLocker, после его загрузки программа шифрует файлы пользователя.
Схема работы TorrentLocker с 2014 года не изменилась кардинально, но злоумышленники внедрили несколько обновлений.
После блокировки файлов TorrentLocker определяет местонахождение жертвы по IP и требует выкуп на актуальном языке и в соответствующей валюте. В ESET выяснили, что вымогатель «поддерживает» языки 22 стран, включая Австралию, Австрию, Великобританию, Германию, Испанию, Нидерланды, Францию, Чехию и др. При этом программа отказывается шифровать файлы жертв из России, Украины, США и Китая.
TorrentLocker шифрует файлы на компьютере жертвы, свои конфигурационные файлы и данные для командного сервера. В 2014 году вымогатель использовал криптографическую библиотеку LibTomCrypt, новые версии «предпочитают» функции Microsoft CryptoAPI.
Малварь заботится о том, чтобы пользователь смог продолжить работу на зараженном компьютере – она не «трогает» системные файлы Windows. Новые версии TorrentLocker содержат список исключений, согласно которым шифрование файлов .exe, .dll и .sys невозможно.
Еще одно нововведение состоит в том, что TorrentLocker шифрует меньший объем данных. В старых версиях программа шифровала первые 2 Мб файлов. Сейчас размер шифруемой части сократился до одного мегабайта.
Сайты, которые используются для распространения TorrentLocker, по-прежнему открываются только из той страны, на которую нацелена атака. Это усложняет работу вирусных аналитиков и автоматических решений для сбора данных. Изменилась модель работы с удаленным сервером: малварь пытается обращаться к сервису анонимной сети Tor.