Троян TorrentLocker отказывается шифровать файлы россиян

Безопасность Пользователю Интернет
мобильная версия
, Текст: Татьяна Короткова

Специалисты Eset проанализировали новые версии трояна-вымогателя TorrentLocker. Как сообщили CNews в Eset, шифратор, известный с 2014 г., распространяется в фишинговых письмах под видом официальных уведомлений почтовых служб, телекоммуникационных или энергетических компаний. Письмо содержит ссылку на исполняемый файл TorrentLocker, после его загрузки программа шифрует файлы пользователя. По словам специалистов компании, схема работы TorrentLocker с 2014 г. не изменилась кардинально, но злоумышленники внедрили несколько обновлений.

После блокировки файлов TorrentLocker определяет местонахождение жертвы по IP и требует выкуп на актуальном языке и в соответствующей валюте. В Eset выяснили, что вымогатель «поддерживает» 22 страны, включая Австралию, Австрию, Великобританию, Германию, Испанию, Нидерланды, Францию, Чехию и др. При этом программа отказывается шифровать файлы жертв из нескольких стран: России, Украины, США и Китая.

TorrentLocker шифрует файлы на компьютере жертвы, свои конфигурационные файлы и данные для командного сервера. В 2014 г. вымогатель использовал криптографическую библиотеку LibTomCrypt, новые версии «предпочитают» функции Microsoft CryptoAPI.

Зловред заботится о том, чтобы пользователь смог продолжить работу на зараженном компьютере— в частности, он не «трогает» системные файлы Windows. Новые версии TorrentLocker содержат список исключений, согласно которым шифрование файлов .exe, .dll и .sys невозможно.

Еще одно нововведение состоит в том, что TorrentLocker шифрует меньший объем данных. В старых версиях программа шифровала первые 2 МБ файлов. Сейчас размер шифруемой части сократился до одного мегабайта, рассказали в Eset.

Сайты, которые используются для распространения TorrentLocker, по-прежнему открываются только из той страны, на которую нацелена атака. Это усложняет работу вирусных аналитиков и автоматических решений для сбора данных. Изменилась при этом модель работы с удаленным сервером — зловред пытается обращаться к сервису анонимной сети Tor.