Обнаружено вымогательское ПО, подражающее TorrentLocker

ИБ-компания ESET  сообщила  о новом вымогательском ПО CryptoFortress, подражающем печально известному TorrentLocker. Впервые о шифровальщике стало известно из  публикации  исследователя, известного под псевдонимом Kafeine. По словам эксперта, уведомление с требованием выкупа и страница для оплаты у CryptoFortress такие же, как TorrentLocker. Тем не менее, проанализировав вредонос, исследователи из ESET определили, что обе программы существенно различаются.

Похоже, что создатели CryptoFortress просто похитили шаблоны HTML и CSS, поскольку вредоносный код и схемы совершенно разные. По данным ESET, между CryptoFortress и TorrentLocker существует ряд различий. К примеру, последняя распространяется через спам-письма, в то время как CryptoFortress – с помощью набора эксплоитов Nuclear Pack.

TorrentLocker соединяется с жестко закодированным C&C-сервером, содержащем страницу с требованием выкупа. В случае с CryptoFortress уведомление встроено в само ПО. Отметим, что требуемая за расшифровку файлов сумма также разнится (CryptoFortress вымогает 1 биткоин). В TorrentLocker использована криптографическая библиотека LibTomCrypt, и шифруется 2 Мб в начале файла, тогда как в CryptoFortress - Microsoft CryptoAPI, и шифруются первые 50% файла до 5 Мб. Оба шифровальщика требуют выкуп в биткоинах.

Что касается общих черт, то в обеих программах использован 1024-битный ключ шифрования RSA, на чем их схожесть заканчивается.