Novi ransomware CryptoFortress imitira poznati TorrentLocker

Opisi virusa, 20.03.2015, 07:00 AM

Početkom meseca poznati francuski istraživač Kafeine otkrio je ransomware za čije se širenje koristi explot alat Nuclear Pack. Ransomware se predstavlja kao “CryptoFortress”, ali njegovo obaveštenje o otkupu šifrovanih fajlova i stranica za plaćanje otkupa veoma liče na one koje prikazuje već dobro poznati ransomware Torrent Locker.

Istraživači iz kompanije ESET analizirali su novi ransomware i došli do zaključka da je reč o dvema veoma različitim pretnjama, ali da su kriminalci koji stoje iza CryptoFortress malvera izgleda ukrali HTML templejtove i CSS kod od TorrentLockera. Ali osim toga, CryptoFortress i TorrentLocker nemaju mnogo sličnosti.

Dva ransomwarea se najpre razlikuju po načinu širenja - TorrentLocker se širi preko spama, a CryptoFortress, kako smo već rekli, pomoću exploit alata.

Lokacija stranice sa obaveštenjem o otkupu se nalazi u kodu malvera, dok je drugi malver dobija sa C&C servera. Kada je reč o stranici za plaćanje, u slučaju oba malvera ona je sakrivena na Tor anonimnoj mreži.

Kada je reč o enkripciji, TorrentLocker koristi AES-256 CBC, a CryptoFortress AES-256 ECB. Ovaj prvi ima hardkodovan server za komandu i kontrolu, dok kod ovog drugog to nije slučaj.

Kriptografska biblioteka koju koristi CryptoFortress je Microsoftova CryptoAPI, dok se TorrentLocker oslanja na open-source LibTomCrypt.

TorrentLocker šifruje 2 Mb na početku fajla, dok CryptoFortress prvih 50% fajla, najviše do 5 Mb.

I po pitanju otkupa, ova dva malvera se razlikuju. TorrentLocker traži različite iznose, dok CyrptoFortress traži 1 bitcoin da bi vratio fajlove.

CryptoFortress se pojavio 02. marta, kada su se na internetu pojavile prvi izveštaji korisnika da su im fajlovi na računarima šifrovani.

Malver su analizirali i stručnjaci francuske kompanije Lexsi koji su otkrili da se AES ključ korišćen za enkripciju podataka na hard disku čuva lokalno u HTML fajlovima nazvanim “READ IF YOU WANT YOUR FILES BACK”, i da je on zaštićen RSA 1024-bitnim javnim ključem.

Osim lokalnih diskova, ransomware zaključava i fajlove na mapiranim diskovima i deljenim mrežama, i briše volume shadow copies da bi sprečio vraćanje fajlova.