Novi ransomware CryptoFortress imitira poznati TorrentLocker

Opisi virusa, 20.03.2015, 07:00 AM

Novi ransomware CryptoFortress imitira poznati TorrentLocker

Početkom meseca poznati francuski istraživač Kafeine otkrio je ransomware za čije se širenje koristi explot alat Nuclear Pack. Ransomware se predstavlja kao “CryptoFortress”, ali njegovo obaveštenje o otkupu šifrovanih fajlova i stranica za plaćanje otkupa veoma liče na one koje prikazuje već dobro poznati ransomware Torrent Locker.

Istraživači iz kompanije ESET analizirali su novi ransomware i došli do zaključka da je reč o dvema veoma različitim pretnjama, ali da su kriminalci koji stoje iza CryptoFortress malvera izgleda ukrali HTML templejtove i CSS kod od TorrentLockera. Ali osim toga, CryptoFortress i TorrentLocker nemaju mnogo sličnosti.

Dva ransomwarea se najpre razlikuju po načinu širenja - TorrentLocker se širi preko spama, a CryptoFortress, kako smo već rekli, pomoću exploit alata.

Lokacija stranice sa obaveštenjem o otkupu se nalazi u kodu malvera, dok je drugi malver dobija sa C&C servera. Kada je reč o stranici za plaćanje, u slučaju oba malvera ona je sakrivena na Tor anonimnoj mreži.

Kada je reč o enkripciji, TorrentLocker koristi AES-256 CBC, a CryptoFortress AES-256 ECB. Ovaj prvi ima hardkodovan server za komandu i kontrolu, dok kod ovog drugog to nije slučaj.

Kriptografska biblioteka koju koristi CryptoFortress je Microsoftova CryptoAPI, dok se TorrentLocker oslanja na open-source LibTomCrypt.

TorrentLocker šifruje 2 Mb na početku fajla, dok CryptoFortress prvih 50% fajla, najviše do 5 Mb.

I po pitanju otkupa, ova dva malvera se razlikuju. TorrentLocker traži različite iznose, dok CyrptoFortress traži 1 bitcoin da bi vratio fajlove.

CryptoFortress se pojavio 02. marta, kada su se na internetu pojavile prvi izveštaji korisnika da su im fajlovi na računarima šifrovani.

Malver su analizirali i stručnjaci francuske kompanije Lexsi koji su otkrili da se AES ključ korišćen za enkripciju podataka na hard disku čuva lokalno u HTML fajlovima nazvanim “READ IF YOU WANT YOUR FILES BACK”, i da je on zaštićen RSA 1024-bitnim javnim ključem.

Osim lokalnih diskova, ransomware zaključava i fajlove na mapiranim diskovima i deljenim mrežama, i briše volume shadow copies da bi sprečio vraćanje fajlova.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Malver Noodle RAT napada Windows i Linux sisteme

Malver Noodle RAT napada Windows i Linux sisteme

Gotovo deceniju, različite kineske hakerske grupe koristile su malver koji je pogrešno klasifikovan kao varijanta drugog malvera, priznali su struč... Dalje

Špijunski malver za Android i iOS uređaje, sada ima i verziju za macOS

Špijunski malver za Android i iOS uređaje, sada ima i verziju za macOS

Stručnjaci firme ThreatFabric su upozorili na novu verziju malvera LightSpy, koja je dizajnirana za Appleove Mac računare. Ovo je vest zbog toga št... Dalje

Sajber kriminalci imaju novi malver koji može da opljačka svaki bankomat u Evropi

Sajber kriminalci imaju novi malver koji može da opljačka svaki bankomat u Evropi

Novi ATM malver za bankomate pojavio se u Evropi. Reč je o malveru koji se prodaje na jednom hakerskom forumu pod nazivom „EU ATM Malware&ldquo... Dalje

Novi malver sakriven u aplikaciji ''SpotifyMusicConverter'' inficira Mac računare

Novi malver sakriven u aplikaciji ''SpotifyMusicConverter'' inficira Mac računare

Mac računari su meta novog opasnog malvera nazvanog Cuckoo (Kukavica). Reč je o trojancu sakrivenom u legitimnom softveru kao što je Spotify, koji ... Dalje

Lažni cheat-ovi šire malver među gejmerima

Lažni cheat-ovi šire malver među gejmerima

Istraživači malvera iz kompanije McAfee otkrili su novi malver za krađu informacija koji je povezan sa malverom Redline. Malver se predstavlja se k... Dalje