Знаменитый троян-вымогатель отказался вредить ПК россиян
07 сен 2016 18:41 #44718
от ICT
ICT создал тему: Знаменитый троян-вымогатель отказался вредить ПК россиян
Вымогатель TorrentLocker не работает с файлами из России Троян-вымогатель TorrentLocker отказывается работать с файлами пользователей из России, Украины, США и Китая. При этом у вымогателя не возникает проблем с шифрованием файлов в 22 других странах, включая Австралию, Австрию, Великобританию, Германию, Испанию, Нидерланды, Францию, Чехию и др. К такому выводу пришли эксперты компании ESET, проанализировав новейшие версии трояна. ESET сообщает, что схема работы TorrentLocker не изменилась в своей основе с 2014 г. – за исключением нескольких нововведений. Например, новые версии TorrentLocker пользуются криптографической библиотекой Microsoft CryptoAPI вместо LibTomCrypt, с которой вымогатель работал в 2014 г. Еще одно новшество заключается в том, что шифрованию подвергается меньший объем данных. В старых версиях программа шифровала первые 2 Мб файлов, сейчас этот объем сократился до 1 Мб. Также новые версии TorrentLocker содержат список исключений, согласно которым шифрование файлов .exe, .dll и .sys невозможно. Сайты, которые используются для распространения TorrentLocker, по-прежнему открываются только из той страны, на которую нацелена атака. Это усложняет работу вирусных аналитиков и автоматических решений для сбора данных. Изменилась модель работы с удаленным сервером – троян пытается обращаться к сервису анонимной сети Tor. Как работает TorrentLocker TorrentLocker – это модификация трояна-шифровальщика FileCoder, которая шифрует файлы пользователя, а после вымогает выкуп за дальнейшее пользование компьютером. TorrentLocker поражает все версии Windows. Программа распространяется в фишинговых письмах под видом официальных уведомлений почтовых служб, телекоммуникационных или энергетических компаний. Письмо содержит ссылку на исполняемый файл TorrentLocker, после загрузки которого программа шифрует файлы пользователя. http://filearchive.cnews.ru/img/cnews/2016/09/07/trojan590.jpg"> Троян-вымогатель TorrentLocker отказывается шифровать файлы пользователей из России, Украины, США и Китая TorrentLocker шифрует файлы на компьютере пользователя, свои конфигурационные файлы и данные для командного сервера. После блокировки файлов он определяет местонахождение жертвы по IP и требует выкуп на актуальном языке и в соответствующей валюте. TorrentLocker заботится о том, чтобы пользователь смог продолжить работу на зараженном компьютере – он не затрагивает системные файлы Windows. [b]Кампания по распространению TorrentLocker[/b] Первые случаи заражения TorrentLocker были зафиксированы в феврале 2014 г. Изначально программа вымогала у пользователей выкуп за дальнейшее пользование компьютером только в валюте Bitcoin. Сумма составляла 4.081 биткоинов, что приблизительно равнялось $1500. В декабре 2014 г. компания ESET представила статистику распространения TorrentLocker. За это время вымогатель успел заразить 39 670 компьютеров, причем пользователи 570 из них заплатили требуемый выкуп. Всего за период проведения вредоносной кампании было зашифровано около 285 миллионов документов. Эксперты ESET предположили, что TorrentLocker распространялся той же группой преступников, которая раньше занималась распространением банковского вредоносного ПО Hesperbot. Сами хакеры назвали свое новое изобретение Racketeer («Вымогатель»). Некоторые названия функций в коде программы, а также имена файлов скриптов на C&C-сервере начинаются с префикса «rack»: rack_init, rack_encrypt_pc, rack_cfg.php, rack_admin.php. Название TorrentLocker было придумано компанией iSIGHT Partners, которая столкнулась с вымогателем в августе 2014 г. Оно было взято из имени раздела реестра «Bit Torrent Application», где программа хранила конфигурационную информацию.[img]http://filearchive.cnews.ru/img/cnews/2016/09/07/trojan590.jpg"> Троян-вымогатель TorrentLocker отказывается шифровать файлы пользователей из России, Украины, США и Китая TorrentLocker шифрует файлы на компьютере пользователя, свои конфигурационные файлы и данные для командного сервера. После блокировки файлов он определяет местонахождение жертвы по IP и требует выкуп на актуальном языке и в соответствующей валюте. TorrentLocker заботится о том, чтобы пользователь смог продолжить работу на зараженном компьютере – он не затрагивает системные файлы Windows. Кампания по распространению TorrentLocker Первые случаи заражения TorrentLocker были зафиксированы в феврале 2014 г. Изначально программа вымогала у пользователей выкуп за дальнейшее пользование компьютером только в валюте Bitcoin. Сумма составляла 4.081 биткоинов, что приблизительно равнялось $1500. В декабре 2014 г. компания ESET представила статистику распространения TorrentLocker. За это время вымогатель успел заразить 39 670 компьютеров, причем пользователи 570 из них заплатили требуемый выкуп. Всего за период проведения вредоносной кампании было зашифровано около 285 миллионов документов. Эксперты ESET предположили, что TorrentLocker распространялся той же группой преступников, которая раньше занималась распространением банковского вредоносного ПО Hesperbot. Сами хакеры назвали свое новое изобретение Racketeer («Вымогатель»). Некоторые названия функций в коде программы, а также имена файлов скриптов на C&C-сервере начинаются с префикса «rack»: rack_init, rack_encrypt_pc, rack_cfg.php, rack_admin.php. Название TorrentLocker было придумано компанией iSIGHT Partners, которая столкнулась с вымогателем в августе 2014 г. Оно было взято из имени раздела реестра «Bit Torrent Application», где программа хранила конфигурационную информацию.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Похожие статьи
Тема | Релевантность | Дата |
---|---|---|
Троян TorrentLocker отказывается шифровать файлы россиян | 11.42 | Среда, 07 сентября 2016 |
Обнаружен новый троян, атакующий только компьютеры россиян | 11.3 | Вторник, 05 июля 2016 |
Новый банковский троян крадет деньги россиян в обход защиты Android | 11.06 | Среда, 07 сентября 2016 |
Российские хакеры запустили новый вирус-вымогатель | 8.82 | Пятница, 05 июня 2015 |
Вымогатель биткоинов распространяется с помощью трояна Nemucod | 8.82 | Среда, 20 января 2016 |
Eset: говорящий вымогатель Jisut предпочитает юани | 8.82 | Четверг, 16 марта 2017 |
Китайских пользователей атаковал вирус-вымогатель, похожий на WannaCry | 8.73 | Среда, 05 июля 2017 |
Вымогатель Locky вылетел из топ-10 угроз впервые с июня 2016 года | 8.64 | Вторник, 24 января 2017 |
Eset: мобильный вымогатель принимает выкуп подарочными картами iTunes | 8.64 | Четверг, 08 февраля 2018 |
Вирус-вымогатель из России вызвал сбой в работе почты Британии | 8.64 | Пятница, 13 января 2023 |