Вымогатель TorrentLocker




Москва, 16 сентября 2014 г. Международная антивирусная компания ESET (Словакия) предупреждает о распространении нового трояна-вымогателя, маскирующегося под официальные уведомления от почтовых служб.
TorrentLocker распространяется с помощью спам-писем, содержащих ссылку на фишинговую страницу, где пользователю предлагается установить «программу для отслеживания почтовых отправлений». Антивирусные продукты ESET NOD32 детектируют новую угрозу как Win32/Filecoder.NCC или Win32/Injector.
Первые образцы спама с TorrentLocker, исследованные специалистами ESET, были ориентированы на австралийских пользователей и рассылались от лица почты Австралии. В настоящее время кибермошенники расширяют географию – эксперты ESET обнаружили аналогичные письма от лица британской Royal Mail.
Загрузка архива с TorrentLocker осуществляется с доменов royalmail-tracking.info, royalmail-tracking.biz и royalmail-tracking.org, зарегистрированных 2 сентября. Их оформление имитирует дизайн оригинального сайта Королевской почты Великобритании. Поддельные страницы показываются только британским пользователям – потенциальные жертвы с другими IP перенаправляются на google.com.
После установки и запуска TorrentLocker блокирует доступ к документам и требует за расшифровку 350 фунтов стерлингов, если средства будут отправлены в течение 72 часов, и 700 фунтов в ином случае. Выкуп предлагается оплатить биткоинами, причем для австралийских и британских пользователей заведены разные счета.
Интересно, что подобная схема распространения характерна не только для TorrentLocker. Летом 2014 года специалисты ESET в Польше обнаружили спам-письма от государственной почты, в приложении к которым содержался архив с трояном Win32/PSW.Papras.CK для кражи аутентификационных данных.

TorrentLocker вновь блокирует файлы и требует выкуп за разблокировку

18.09.2014

Разработчики вредоносной программы исправили ошибку, которая позволяла разблокировать файлы без оплаты.
Специалисты компании iSight Partners обнаружили новую версию вредоносной программы под названием TorrentLocker. Программа блокирует файлы пользователей и требует выкуп в размере $500 за разблокировку данных. Жертвами вредоноса уже стали жители Австралии и Великобритании.
Что интересно, разработчики TorrentLocker совершили ошибку аналогичную создателям еще одной программы-вымогателя CryptoDefense – они оставляли ключ расшифрования на персональном компьютере пользователя. Со временем ошибка была исправлена.
Исследователи выяснили, что разработчики TorrentLocker использовали один и тот же ключевой поток для шифрования всех находящихся на ПК данных. Как отмечают специалисты, такие действия были ошибочными, поскольку ключевой поток не должен использоваться более одного раза. Поскольку все шифрование совершалось путем комбинации ключевого потока и открытого текста при использовании операции XOR, эксперты смогли выявить ключевой поток просто применив операцию XOR между зашифрованным и открытым текстовым файлом.
Главный технический аналитик iSight Ричард Хаммель (Richard Hummel) сообщил, что специалистами была обнаружена исправленная версия TorrentLocker. Новая вариация сканирует учетные записи пользователей почтового клиента Thunderbird на предмет электронных адресов и паролей и может быть использована для расширения спам-кампании TorrentLocker.