Novi ransomware CryptoFortress imitira poznati TorrentLocker

Opisi virusa, 20.03.2015, 07:00 AM

Novi ransomware CryptoFortress imitira poznati TorrentLocker

Početkom meseca poznati francuski istraživač Kafeine otkrio je ransomware za čije se širenje koristi explot alat Nuclear Pack. Ransomware se predstavlja kao “CryptoFortress”, ali njegovo obaveštenje o otkupu šifrovanih fajlova i stranica za plaćanje otkupa veoma liče na one koje prikazuje već dobro poznati ransomware Torrent Locker.

Istraživači iz kompanije ESET analizirali su novi ransomware i došli do zaključka da je reč o dvema veoma različitim pretnjama, ali da su kriminalci koji stoje iza CryptoFortress malvera izgleda ukrali HTML templejtove i CSS kod od TorrentLockera. Ali osim toga, CryptoFortress i TorrentLocker nemaju mnogo sličnosti.

Dva ransomwarea se najpre razlikuju po načinu širenja - TorrentLocker se širi preko spama, a CryptoFortress, kako smo već rekli, pomoću exploit alata.

Lokacija stranice sa obaveštenjem o otkupu se nalazi u kodu malvera, dok je drugi malver dobija sa C&C servera. Kada je reč o stranici za plaćanje, u slučaju oba malvera ona je sakrivena na Tor anonimnoj mreži.

Kada je reč o enkripciji, TorrentLocker koristi AES-256 CBC, a CryptoFortress AES-256 ECB. Ovaj prvi ima hardkodovan server za komandu i kontrolu, dok kod ovog drugog to nije slučaj.

Kriptografska biblioteka koju koristi CryptoFortress je Microsoftova CryptoAPI, dok se TorrentLocker oslanja na open-source LibTomCrypt.

TorrentLocker šifruje 2 Mb na početku fajla, dok CryptoFortress prvih 50% fajla, najviše do 5 Mb.

I po pitanju otkupa, ova dva malvera se razlikuju. TorrentLocker traži različite iznose, dok CyrptoFortress traži 1 bitcoin da bi vratio fajlove.

CryptoFortress se pojavio 02. marta, kada su se na internetu pojavile prvi izveštaji korisnika da su im fajlovi na računarima šifrovani.

Malver su analizirali i stručnjaci francuske kompanije Lexsi koji su otkrili da se AES ključ korišćen za enkripciju podataka na hard disku čuva lokalno u HTML fajlovima nazvanim “READ IF YOU WANT YOUR FILES BACK”, i da je on zaštićen RSA 1024-bitnim javnim ključem.

Osim lokalnih diskova, ransomware zaključava i fajlove na mapiranim diskovima i deljenim mrežama, i briše volume shadow copies da bi sprečio vraćanje fajlova.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi trojanac ToxicEye koristi aplikaciju Telegram za špijuniranje i krađu podataka korisnika

Novi trojanac ToxicEye koristi aplikaciju Telegram za špijuniranje i krađu podataka korisnika

Sajber kriminalci sve češće zloupotrebljavaju Telegram za kontrolu i upravljanje malverima i krađu informacija sa ciljanih sistema. ToxicEye je no... Dalje

Sajber kriminalci koriste kontakt forme na veb sajtovima za širenje trojanca IcedID

Sajber kriminalci koriste kontakt forme na veb sajtovima za širenje trojanca IcedID

Istraživači iz kompanije Microsoft upozorili su na novu fišing kampanju u kojoj napadači koriste obrasce za kontakt (“Kontaktirajte nas&rdqu... Dalje

Novi malver CopperStealer krade Google, Facebook i Apple naloge

Novi malver CopperStealer krade Google, Facebook i Apple naloge

Istraživači kompanije Proofpoint otkrili su malver koji se distribuira preko sajtova na kojima se nudi nelegalni piratski softver, a koji cilja kori... Dalje

30000 Mac računara inficirano novim malverom Silver Sparrow

30000 Mac računara inficirano novim malverom Silver Sparrow

Novi malver Silver Sparrow inficirao je 30000 Mac računara. Malver su otkrili istraživači iz firme Red Canary koji su ga analizirali zajedno sa ist... Dalje

Otkriven prvi malver koji napada isključivo Appleov novi M1 čip

Otkriven prvi malver koji napada isključivo Appleov novi M1 čip

Bivši istraživač NSA Patrik Vordl otkrio je malver koji je dizajniran za napade na računare sa Appleovim novim M1 čipom, koji se koristi na najno... Dalje