Novi ransomware CryptoFortress imitira poznati TorrentLocker

Opisi virusa, 20.03.2015, 07:00 AM

Novi ransomware CryptoFortress imitira poznati TorrentLocker

Početkom meseca poznati francuski istraživač Kafeine otkrio je ransomware za čije se širenje koristi explot alat Nuclear Pack. Ransomware se predstavlja kao “CryptoFortress”, ali njegovo obaveštenje o otkupu šifrovanih fajlova i stranica za plaćanje otkupa veoma liče na one koje prikazuje već dobro poznati ransomware Torrent Locker.

Istraživači iz kompanije ESET analizirali su novi ransomware i došli do zaključka da je reč o dvema veoma različitim pretnjama, ali da su kriminalci koji stoje iza CryptoFortress malvera izgleda ukrali HTML templejtove i CSS kod od TorrentLockera. Ali osim toga, CryptoFortress i TorrentLocker nemaju mnogo sličnosti.

Dva ransomwarea se najpre razlikuju po načinu širenja - TorrentLocker se širi preko spama, a CryptoFortress, kako smo već rekli, pomoću exploit alata.

Lokacija stranice sa obaveštenjem o otkupu se nalazi u kodu malvera, dok je drugi malver dobija sa C&C servera. Kada je reč o stranici za plaćanje, u slučaju oba malvera ona je sakrivena na Tor anonimnoj mreži.

Kada je reč o enkripciji, TorrentLocker koristi AES-256 CBC, a CryptoFortress AES-256 ECB. Ovaj prvi ima hardkodovan server za komandu i kontrolu, dok kod ovog drugog to nije slučaj.

Kriptografska biblioteka koju koristi CryptoFortress je Microsoftova CryptoAPI, dok se TorrentLocker oslanja na open-source LibTomCrypt.

TorrentLocker šifruje 2 Mb na početku fajla, dok CryptoFortress prvih 50% fajla, najviše do 5 Mb.

I po pitanju otkupa, ova dva malvera se razlikuju. TorrentLocker traži različite iznose, dok CyrptoFortress traži 1 bitcoin da bi vratio fajlove.

CryptoFortress se pojavio 02. marta, kada su se na internetu pojavile prvi izveštaji korisnika da su im fajlovi na računarima šifrovani.

Malver su analizirali i stručnjaci francuske kompanije Lexsi koji su otkrili da se AES ključ korišćen za enkripciju podataka na hard disku čuva lokalno u HTML fajlovima nazvanim “READ IF YOU WANT YOUR FILES BACK”, i da je on zaštićen RSA 1024-bitnim javnim ključem.

Osim lokalnih diskova, ransomware zaključava i fajlove na mapiranim diskovima i deljenim mrežama, i briše volume shadow copies da bi sprečio vraćanje fajlova.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Opasni malver koji krade lozinke širi se preko reklama za popularni softver

Opasni malver koji krade lozinke širi se preko reklama za popularni softver

Sajber kriminalci reklamiraju lažne verzije popularnog softvera pokušavajući da prevare korisnike da preuzmu malver, koji za napadače krade korisn... Dalje

Pogodite ko se vratio: Pola godine nakon što je uklonjen sa svih računara u svetu, ''najopasniji malver'' je ponovo tu

Pogodite ko se vratio: Pola godine nakon što je uklonjen sa svih računara u svetu, ''najopasniji malver'' je ponovo tu

Zloglasni malver Emotet se vratio i ponovo je aktivan skoro deset meseci nakon što je međunarodna policijska operacija uspela da preuzme kontrolu i ... Dalje

Novi trojanac BloodyStealer krade Epic Games i Steam naloge

Novi trojanac BloodyStealer krade Epic Games i Steam naloge

Novi trojanac koji se prodaje na ruskim hakerskim forumima onima koji ga kupe nudi mogućnost krađe korisničkih naloga na popularnim servisima kao ... Dalje

Opasni bankarski trojanac u Google oglasima u rezultatima pretrage

Opasni bankarski trojanac u Google oglasima u rezultatima pretrage

Ako na pretraživačima poput Googlea tražite softver TeamViewer mogli biste naleteti na linkove koji bi vas mogli odvesti do lažnih sajtova na koji... Dalje

Nova varijanta malvera AdLoad prolazi neprimećena Appleovu XProtect odbranu od malvera

Nova varijanta malvera AdLoad prolazi neprimećena Appleovu XProtect odbranu od malvera

Nova varijanta malvera AdLoad provlači se kroz Appleovu ugrađenu antivirusnu tehnologiju XProtect i inficira Mac računare u okviru više kampanja k... Dalje