Через неделю после обнародования анализа версии TorrentLocker со слабым шифрованием исследователи из iSIGHT Partners обнаружили новый вариант, использующий иной алгоритм, не содержащий уязвимости.

В середине августа iSIGHT Partners выпустили анализ троянца-вымогателя, замеченного в нескольких активных кампаниях, направленных против австралийских пользователей. История троянца, названного TorrentLocker, продолжилась в сентябре, когда исследователи из NIXU выявили уязвимость в его алгоритме шифрования, позволяющую расшифровать файлы без получения закрытого ключа при соблюдении ряда условий.

В течение недели после этого авторы троянца исправили баг и выпустили новый вариант, что очередной раз свидетельствует о ярко выраженной инновационности отрасли вредоносного ПО. Исследователи из iSIGHT Partners опубликовали новый анализ зловреда, разобрав его новые возможности, цели и особенности поведения.

Кэмерон Сабел и Йон Эриксон из iSIGHT Partners отметили несколько ключевых отличий нового варианта TorrentLocker: нацеленность на британских жертв помимо австралийских, функциональность сканирования профилей Thunderbird для обнаружения адресов e-mail и паролей, новый метод шифрования файлов жертвы, не позволяющий дешифровать без закрытого ключа.

Новый метод шифрования, так же как и в уязвимой версии, основан на AES, но используется режим сцепления блоков шифротекста (Cipher-Block Chaining, CBC), и для всех файлов больше не применяется один и тот же ключевой поток. В режиме CBC каждый блок текста (кроме первого) перед шифрованием комбинируется операцией XOR с предыдущим блоком. TorrentLocker все так же шифрует лишь первые 2 Мб каждого файла и добавляет 264 байта кода в конце файла. Этот код уникален для каждого заражения, и зловред отправляет его на сервер управления и контроля после получения ключа при уплате жертвой выкупа. Это, по предположению исследователей, нужно злоумышленникам для отслеживания распространения троянца.

По мнению исследователей, TorrentLocker остается серьезной угрозой для многих пользователей, а число заражений и предположительный объем выплат со стороны жертв позволяют поставить его почти вровень с CryptoLocker.

Категории: Вредоносные программы