TorrentLocker боится российских пользователей

TorrentLocker боится российских пользователей

Специалисты ESET проанализировали новые версии трояна-вымогателя TorrentLocker. Шифратор, известный с 2014 года, распространяется в фишинговых письмах под видом официальных уведомлений почтовых служб, телекоммуникационных или энергетических компаний. Письмо содержит ссылку на исполняемый файл TorrentLocker, после его загрузки программа шифрует файлы пользователя.

Схема работы TorrentLocker с 2014 года не изменилась кардинально, но злоумышленники внедрили несколько обновлений.

После блокировки файлов TorrentLocker определяет местонахождение жертвы по IP и требует выкуп на актуальном языке и в соответствующей валюте. В ESET выяснили, что вымогатель «поддерживает» 22 страны, включая Австралию, Австрию, Великобританию, Германию, Испанию, Нидерланды, Францию, Чехию и др. При этом программа отказывается шифровать файлы жертв из нескольких стран: России, Украины, США и Китая.

TorrentLockerшифрует файлы на компьютере жертвы, свои конфигурационные файлы и данные для командного сервера. В 2014 году вымогатель использовал криптографическую библиотеку LibTomCrypt, новые версии «предпочитают» функции Microsoft CryptoAPI.

Малварь заботится о том, чтобы пользователь смог продолжить работу на зараженном компьютере – она не «трогает» системные файлы Windows. Новые версии TorrentLockerсодержат список исключений, согласно которым шифрование файлов .exe, .dll и .sysневозможно.

Еще одно нововведение состоит в том, что TorrentLocker шифрует меньший объем данных. В старых версиях программа шифровала первые 2 Мб файлов. Сейчас размер шифруемой части сократился до одного мегабайта.

Сайты, которые используются для распространения TorrentLocker, по-прежнему открываются только из той страны, на которую нацелена атака. Это усложняет работу вирусных аналитиков и автоматических решений для сбора данных. Изменилась модель работы с удаленным сервером – малварь пытается обращаться к сервису анонимной сети Tor.

ESET проанализировали новые версии трояна-вымогателя TorrentLocker. Шифратор, известный с 2014 года, распространяется в фишинговых письмах под видом официальных уведомлений почтовых служб, телекоммуникационных или энергетических компаний. Письмо содержит ссылку на исполняемый файл TorrentLocker, после его загрузки программа шифрует файлы пользователя." />
Yandex Zen AMПодписывайтесь на канал "Anti-Malware" в Yandex Zen, чтобы узнавать о новостях и эксклюзивных материалах по информационной безопасности в своей персональной ленте.

Украина приготовилась к кибератакам со стороны России

Украина перешла в «боевой режим» противодействия кибератакам. Об этом сообщил начальник Главного управления связи и информационных систем генштаба ВСУ Владимир Рапко. В частности, Рапко дал понять, что ВСУ ждут вторжений со стороны России.

В Украине считают, что с 2014 года наибольшее число атак в цифровом пространстве исходило именно с территории Российской Федерации.

«Судя по географии, большинство атак были совершены с территории России. Но нельзя исключать возможность использования площадок близких к нам стран для проведения кибернападений. В этом случае затрудняется окончательная идентификация», — говорит Рапко.

«Подразделения ВСУ, ответственные за кибербезопасность, перешли на боевой режим работы», — передают СМИ слова начальника.

Рапко отметил, что зачастую атакующие Украину лица старались нарушить работу систем управления и связи ВСУ. Чаще всего киберпреступники атаковали сайт Министерства обороны Украины. В основном это были DDoS-атаки.

В прошлом месяце украинские киберполицейские вычислили злоумышленника, который стоит за вредоносной программой DarkComet, заразившей более двух тысяч компьютеров по всему миру. Оказалось, что киберпреступник живет в Львовской области.

Yandex Zen AMПодписывайтесь на канал "Anti-Malware" в Yandex Zen, чтобы узнавать о новостях и эксклюзивных материалах по информационной безопасности в своей персональной ленте.

RSS: Новости на портале Anti-Malware.ru