Содержание
Cryptolocker может быть мертв и похоронен
, но есть новое вредоносное ПО, которое хочет получить корону вымогателей. Он называется TorrentLocker, и это явно зло.
Говорят, что TorrentLocker позаимствовал функции как у скандально известного CryptoLocker Ransomware, так и у CryptoWall. Несмотря на то, что исследователи безопасности, открывшие и проанализировавшие его, — iSIGHT Partners — являются производными от этих вредоносных программ, они называют его совершенно новым штаммом.
iSIGHT Partners — это уважаемая исследовательская фирма, базирующаяся в Далласе, штат Техас, с офисами и сотрудниками в 16 странах мира.
Потребители, пострадавшие от TorrentLocker, обнаружат, что их файлы зашифрованы с помощью надежного, почти неразрушимого шифрования, и смогут вернуть свои файлы только после уплаты выкупа, указанного в австралийских долларах.
Хотите узнать, что делает TorrentLocker таким злым? Читайте дальше.
Знакомая угроза
Что особенно привлекательно в TorrentLocker, так это то, что он позаимствовал свои названия и эстетику у CryptoLocker и CryptoWall, несмотря на то, что это совершенно другое животное. После заражения вредоносная программа идентифицирует себя как «CryptoLocker» (которую я однажды назвал «самой грязной вредоносной программой в истории»).
), и будет содержать короткий QA, который, по-видимому, полностью извлечен из CryptoWall.
Этимология TorrentLocker происходит от модификации, внесенной в реестр Windows
в разделе «HKCU \ Software \ Bit Torrent Application \». Однако нет никаких реальных доказательств того, что TorrentLocker заражает через протоколы обмена файлами и сети. Большинство установок вируса, по-видимому, происходят от людей, открывающих вложения из спам-писем.
Как и CryptoLocker, TorrentWall требует выкуп
, Чтобы пользователи могли вернуть свои файлы, пользователям придется выложить 500 долларов США (464 доллара США на момент написания статьи). И, как и в CryptoLocker, пользователи должны платить выкуп в биткойнах. TorrentLocker предлагает несколько бирж биткойнов
базируется в Австралии. Это в сочетании с выбранной валютой выкупа говорит о том, что эта вредоносная программа предназначена для австралийских интернет-пользователей.
Вредоносные программы, нацеленные на конкретную страну, не являются особенно новыми. Stuxnet был нацелен на системы SCADA в Иране, в то время как другое программное обеспечение вымогателей использовало названия и логотипы Британского агентства по борьбе с серьезной организованной преступностью (SOCA), а также Федерального бюро расследований.
Что нового, хотя, и как это работает?
TorrentLocker выглядит как Cryptolocker. Это «крякает», как Cryptolocker. Но это не CryptoLocker. На самом деле, он сильно отличается на уровне кода и должен рассматриваться как совершенно уникальный тип вредоносного ПО, а не как ребрендинг Cryptolocker.
После запуска исполняемого файла TorrentLocker вносятся изменения в файл explorer.exe. Он содержит большую часть функциональности TorrentLocker, включая код, используемый для связи с сервером команд и управления, а также для шифрования файлов в системе.
Вредоносная программа дублируется в папке «% WINDOWS% /% WOW64%». Эта копия имеет случайное название, что может затруднить работу любых антивирусных программ, работающих в системе в данный момент. Он также выполняет несколько установок одновременно, потенциально, чтобы запутать его поведение.
Другая копия вредоносного ПО также помещается в реестр Windows, в дополнение к создаваемому ключу автозапуска. Как и следовало ожидать, это вызывает запуск вредоносной программы при запуске.
Чтобы вредоносная программа начала шифровать файлы, она должна сначала иметь возможность взаимодействовать с сервером управления и контроля (CC). Он пытается установить соединение с IP-адресом, жестко запрограммированным в вредоносной программе, с которой он затем аутентифицируется. Если аутентификация прошла успешно, вредоносная программа начинает шифрование файлов. Как только он завершит свою задачу, он будет информировать пользователя.
Пользователи могут убедиться, что дешифрование возможно, восстановив один файл по своему выбору бесплатно. В отличие от CryptoLocker, жертвам не нужно платить в течение определенного периода времени, иначе ключи дешифрования будут удалены. Однако стоимость дешифрования удваивается до 1000 австралийских долларов по истечении определенного периода времени.
Интересно, что вымогатель на самом деле не описывает выплату выкупа в таких терминах. Скорее жертвы «покупают» программное обеспечение, необходимое для расшифровки их файлов. Страницы с выкупом написаны грубым, ломаным английским языком, что говорит о том, что человек (или лица), стоящие за TorrentWall, не являются носителями английского языка.
На странице выкупа также есть форма для связи с атакующим, в дополнение к списку биткойнов, Dogecoin.
и Litecoin
адреса, где благодарные жертвы могут сделать пожертвование. Это добровольно, хотя почему-то я мог бы сделать подарок кому-то, кто вымогал у вас значительную сумму денег, что-то вне моего понимания.
Что я могу сделать, если заражен?
Это немного сложно. Прямо сейчас нет другого способа вернуть ваши файлы, кроме как заплатить выкуп. Однако, как мы видели с CryptoLocker
люди могут получить свои файлы обратно, когда серверы командования и управления будут заняты, а список ключей дешифрования восстановлен.
Тем временем, убедитесь, что у вас есть резервная копия ваших файлов, которые не постоянно подключены к вашему компьютеру через USB или сетевой ресурс. Кроме того, инвестируйте в какой-нибудь надежный антивирус (не Microsoft Security Essentials)
) и не открывайте вложения из нежелательных или подозрительных писем.
Если вы заражаетесь, рекомендуется купить дешевый внешний жесткий диск (или достаточно емкий USB-накопитель) и скопировать зашифрованные файлы. Это дает вам возможность в конечном итоге восстановить ваши файлы в более поздний срок и без уплаты выкупа. Затем вам будет предложено переустановить Windows (или, возможно, дать Linux — гораздо более безопасную операционную систему).
— попытка), чтобы удалить вредоносную программу навсегда.
Соблазнительно платить выкуп, хотя вы должны помнить, что только тогда вы сделаете эти типы вымогателей финансово выгодными для злоумышленника.
Вас ударили?
Потерял все свои файлы? Был вынужден заплатить выкуп? Знаете кого у кого есть? Я хотел бы услышать вашу историю. Поле для комментариев ниже.
