Специалисты противовирусной компании ESET проверили свежие версии трояна-вымогателя TorrentLocker, который идет в фишинговых посланиях маскируясь под формальных извещений почтовых занятий, телекоммуникационных либо энергетических организаций. Само послание имеет сноску на выполняемый документ TorrentLocker, после закачки которого платформа шифрует документы клиента.
Этот кодер известен с 2014 года, и, как подчеркивается в отчёте, метод его работы с того времени не претерпел существенных перемен. Но мошенники все-таки ввели несколько обновлений.
Так, после блокады документов TorrentLocker устанавливает местоположение жертвы по Ip и требует выкуп на важном языке в аналогичной денежной единице. Специалистам удалось установить, что в перечне стран, «поддерживаемых» вымогателем, числятся Новая Зеландия, Австрия, Англия, Германия, Италия, Голландия, Франция, Чехия и другие. А РФ, Украина, США и КНР туда по некоторым основаниям не попали — платформа просто-напросто отказывается зашифровывать документы потерпевших из этих стран.
По-прежнему, TorrentLocker шифрует документы на ПК жертвы, собственные конфигурационные документы и данные для командного компьютера — лишь сейчас вместо шифровальной библиотеки LibTomCrypt применяет функции Майкрософт CryptoAPI. При этом системные документы Виндоус не упоминаются — свежие версии TorrentLocker имеют перечень исключений, по которым кодирование документов .exe, .dll и .sys не разрешается. Также объем шифруемой части документа снизился до одного килобайта.