Троянец TorrentLocker – новые версии

Как сообщила компания ESET, ее специалисты проанализировали новые версии троянца-вымогателя TorrentLocker. Этот шифратор, известный с 2014 г., распространяется в фишинговых письмах под видом официальных уведомлений почтовых служб, телекоммуникационных или энергетических компаний. Письмо содержит ссылку на исполняемый файл TorrentLocker, после его загрузки программа шифрует файлы пользователя.

Схема работы TorrentLocker с 2014 г. не изменилась кардинально, но злоумышленники внедрили несколько обновлений. После блокировки файлов TorrentLocker определяет местонахождение жертвы по IP и требует выкуп на актуальном языке и в соответствующей валюте. Как выяснили в ESET, вымогатель «поддерживает» 22 страны, включая Австралию, Австрию, Великобританию, Германию, Испанию, Нидерланды, Францию, Чехию. При этом программа отказывается шифровать файлы жертв из нескольких стран: России, Украины, США и Китая.

TorrentLocker шифрует файлы на компьютере жертвы, свои конфигурационные файлы и данные для командного сервера. Ранее вымогатель использовал криптографическую библиотеку LibTomCrypt, новые версии пользуются функциями Microsoft CryptoAPI.

Троянец не трогает системные файлы Windows, чтобы пользователь смог продолжить работу на зараженном компьютере. Новые версии TorrentLocker содержат список исключений, согласно которым шифрование файлов .exe, .dll и .sys невозможно.

Еще одно нововведение состоит в том, что TorrentLocker шифрует меньший объем данных. В старых версиях программа шифровала первые 2 Мбайт файлов, сейчас шифруемая часть сократилась до 1 Мбайт.

Сайты, которые используются для распространения TorrentLocker, по-прежнему открываются только из той страны, на которую нацелена атака. Это усложняет работу вирусных аналитиков и автоматических решений для сбора данных. Изменилась и модель работы с удаленным сервером – троянец пытается обращаться к сервису анонимной сети Tor.