По оценке ESET, появившийся в минувшем феврале блокер-шифровальщик TorrentLocker уже заразил около 40 тыс. Windows-компьютеров и принес своим операторам от $292,7 тыс. до $585,4 тыс. в биткойнах.

За истекший период зловред успел зашифровать около 285 млн документов, владельцы которых проживают преимущественно в Западной Европе, а также в Канаде, Австралии и Новой Зеландии. Выкуп в обеспечение возврата своих файлов заплатили лишь 1,45% жертв заражения.

TorrentLocker — не самый продвинутый вымогатель, применяющий шифрование, но, согласно ESET, один из наиболее распространенных зловредов данного типа. Раздается он, как и многие прочие блокеры, через спам с вредоносными вложениями или ссылками, который имитирует уведомления о неоплаченном счете, почтовом отправлении или штрафе за превышение скорости. Заряженные TorrentLocker спам-письма были замечены на территории Австралии, Австрии, Канады, Чехии, Италии, Ирландии, Франции, Германии, Нидерландов, Новой Зеландии, Испании, Турции и Великобритании. США, как ни странно, в этом списке отсутствуют.

Для шифрования пользовательских документов, фото и прочих файлов TorrentLocker генерирует 256-битный ключ AES и требует до 4 биткойнов за расшифровку. Этот ключ затем шифруется публичным 2048-битным RSA и отсылается на командный сервер. Поскольку сгенерированный по месту AES-ключ удаляется из памяти, при уплате выкупа его сохраненная на сервере копия дешифруется с помощью приватного RSA-ключа и высылается зловреду для освобождения файлов.

По мнению экспертов ESET, за TorrentLocker стоит та же группировка, которая оперирует также банкерами семейства Hesperbot. Злоумышленники постоянно держат руку на пульсе и быстро реагируют на смену событий. Так, новая, исправленная модификация вымогателя появилась через неделю после публикации результатов анализа кода, выявившего криптографическую ошибку его авторов. Благодаря этому промаху финские исследователи смогли без особого труда восстановить полоненный зловредом контент.

Хотя на настоящий момент основным способом доставки TorrentLocker является вредоносный спам, не исключено, что его распространители решат задействовать и другие механизмы — например, эксплуатацию уязвимостей. «Важно понимать, что для вымогательского ПО начальная точка компрометации — это не какой-нибудь статичный или новый параметр, — комментирует Тим Элин (Tim Erlin), директор Tripwire по безопасности и оценке рисков. — К услугам злоумышленников широкий спектр средств, пригодных для распространения инфекции. Спам с вредоносными ссылками или вложениями популярен, потому что сохраняет свою эффективность».

Категории: Вредоносные программы