Вымогательское ПО CryptoFortress подражает TorrentLocker


ESET NOD32Компания ESET выявила в Сети новое вымогательское ПО CryptoFortress, которое полностью подражает печально известному TorrentLocker. Однако, в результате детального изучения вредоноса, исследователи определили, что обе программы существенно различаются.

Складывается впечатление, что создатели CryptoFortress просто похитили шаблоны HTML и CSS, поскольку вредоносный код и схемы совершенно разные. Однако между этими вымогателями имеются некоторые различия. Так, например, TorrentLocker распространяется через спам-письма, а CryptoFortress – с помощью набора эксплоитов Nuclear Pack.

TorrentLocker соединяется с жестко закодированным C&C-сервером, который содержит страницу с требованием выкупа. Что касается CryptoFortress, то здесь уведомление встроено в само ПО. Также стоит отметить, что за расшифровку файлов CryptoFortress вымогает 1 биткоин. Следующая разница в том, что в TorrentLocker использована криптографическая библиотека LibTomCrypt, и шифруется 2 Мб в начале файла. В CryptoFortress - Microsoft CryptoAPI, и шифруются первые 50% файла до 5 Мб. Оба шифровальщика требуют выкуп в биткоинах.

Касательно общих черт, в обеих программах использован 1024-битный ключ шифрования RSA, на чем их схожесть заканчивается.


Обновлено (11.03.2015 18:10)