Cryptolocker может быть мертв и похоронен , но есть новая часть вредоносного ПО, которая надеется взять корону Ransomware. Он называется TorrentLocker, и это явно зло.
Говорят, что TorrentLocker заимствует функции как из скандально известного CryptoLocker Ransomware, так и из CryptoWall. Несмотря на то, что исследователи безопасности , открывшие и проанализировавшие его, — iSIGHT Partners — являются производными от этих вредоносных программ, они называют его совершенно новым штаммом.
iSIGHT Partners — это уважаемая исследовательская фирма, базирующаяся в Далласе, штат Техас, с офисами и сотрудниками в 16 странах мира.
Потребители, пострадавшие от TorrentLocker, обнаружат, что их файлы зашифрованы с помощью надежного, почти неразрушимого шифрования, и смогут вернуть свои файлы только после уплаты выкупа, указанного в австралийских долларах.
Вам интересно, что делает TorrentLocker таким особенным злом? Читайте дальше.
Знакомая угроза
Что особенно привлекательно в TorrentLocker, так это то, что он позаимствовал свое наименование и эстетику у CryptoLocker и CryptoWall, несмотря на то, что это совершенно другое животное. После заражения вредоносная программа идентифицирует себя как «CryptoLocker» (которую я когда-то описывал как «самую грязную вредоносную программу в мире». отвратительная вредоносная программа за всю будет получен ), и будет содержать короткие вопросы и ответы, которые, по-видимому, были полностью взломаны CryptoWall.
Этимология TorrentLocker происходит от изменения, внесенного в реестр Windows. разделе «HKCU \ Software \ Bit Torrent Application \». Однако нет никаких реальных доказательств того, что TorrentLocker заражает через протоколы обмена файлами и сети. Большинство установок вируса, по-видимому, происходят от людей, открывающих вложения из спам-писем.
Так же, как CryptoLocker, TorrentWall требует выкуп падайте духом Чтобы пользователи могли вернуть свои файлы, пользователям придется выложить 500 долларов США (464 доллара США на момент написания статьи). И, как и в CryptoLocker, пользователи должны платить выкуп в биткойнах. TorrentLocker предлагает ряд биткойн-обменов из Австралии. Это, в сочетании с выбранной валютой выкупа, позволяет предположить, что эта вредоносная программа предназначена для австралийских интернет-пользователей.
Вредоносные программы, нацеленные на конкретную страну, не особенно новы. Stuxnet был нацелен на системы SCADA в Иране, в то время как другое программное обеспечение вымогателей использовало названия и логотипы Британского агентства по борьбе с серьезной организованной преступностью (SOCA), а также Федерального бюро расследований.
Что нового, хотя, и как это работает?
TorrentLocker выглядит как Cryptolocker. Это «крякает», как Cryptolocker. Но это не CryptoLocker. На самом деле, он сильно отличается на уровне кода и должен рассматриваться как совершенно уникальный тип вредоносного ПО, а не как ребрендинг Cryptolocker.
После запуска исполняемого файла TorrentLocker вносятся изменения в файл explorer.exe. Он содержит большую часть функциональности TorrentLocker, включая код, используемый для связи с сервером команд и управления, а также для шифрования файлов в системе.
Вредоносная программа дублируется в папке «% WINDOWS% /% WOW64%». Эта копия имеет произвольное название, что может затруднить работу любых антивирусных программ, работающих в системе в данный момент. Он также выполняет несколько установок одновременно, потенциально, чтобы запутать его поведение.
Другая копия вредоносного ПО также помещается в реестр Windows, в дополнение к создаваемому ключу автозапуска. Как и следовало ожидать, это вызывает запуск вредоносной программы при запуске.
Чтобы вредоносная программа начала шифровать файлы, она должна сначала иметь возможность взаимодействовать с командным и управляющим (C & C) сервером. Он пытается установить соединение с IP-адресом, жестко запрограммированным в вредоносной программе, с которой он затем аутентифицируется. Если аутентификация прошла успешно, вредоносная программа начинает шифрование файлов. Как только он завершит свою задачу, он будет информировать пользователя.
Пользователи могут убедиться, что дешифрование возможно, восстановив один файл по своему выбору бесплатно. В отличие от CryptoLocker, жертвам не нужно платить в течение определенного периода времени, чтобы не были удалены ключи дешифрования. Однако стоимость дешифрования удваивается до 1000 австралийских долларов по истечении определенного периода времени. 
Интересно, что вымогатель фактически не описывает выплату выкупа в таких терминах. Скорее жертвы «покупают» программное обеспечение, необходимое для расшифровки их файлов. Страницы с выкупом написаны грубым, ломаным английским языком, что говорит о том, что человек (или люди), стоящие за TorrentWall, не являются носителями английского языка.
На странице выкупа также есть форма для связи с атакующим, в дополнение к списку биткойнов, Dogecoin и Litecoin адресов, где благодарные жертвы могут сделать пожертвование. Это добровольно, хотя почему-то можно было бы подарить кому-то, кто вымогал у вас значительную сумму денег, я не понимаю.
Что я могу сделать, если заражен?
Это немного сложно. Прямо сейчас нет другого способа вернуть ваши файлы, кроме как заплатить выкуп. Однако, как мы видели в CryptoLocker, того, люди могут получить свои файлы обратно, когда серверы командования и управления будут захвачены, а список ключей дешифрования восстановлен.
Тем временем, убедитесь, что у вас есть резервная копия ваших файлов, которые не постоянно подключены к вашему компьютеру через USB или сетевой ресурс. Кроме того, инвестируйте в какой-нибудь надежный антивирус ( не в Microsoft Security Essentials. ) и избегайте открывать вложения из нежелательных или подозрительных писем.
Если вы инфицированы, рекомендуется купить дешевый внешний жесткий диск (или достаточно емкий USB-накопитель) и скопировать зашифрованные файлы. Это дает вам возможность в конечном итоге восстановить ваши файлы в более поздний срок и без уплаты выкупа. Затем вам будет рекомендовано переустановить Windows (или, возможно, дать Linux — гораздо более безопасную операционную систему. системы — попытка), чтобы удалить вредоносное ПО на пользу.
Соблазнительно платить выкуп, хотя вы должны помнить, что только тогда вы сделаете эти типы вымогателей финансово выгодными для злоумышленника.
Вас ударили?
Потерял все ваши файлы? Был вынужден заплатить выкуп? Знаете кого у кого есть? Я хотел бы услышать вашу историю. Поле для комментариев ниже.