CryptoFortress: Novo ransomware com recursos de criptografia de arquivos

O CryptoFortress é um novo ransomware com recursos de criptografia. É semelhante ao TorrentLocker, mas seu mecanismo interno mostra uma estrutura de malware diferente.

A mensagem solicitando o resgate que aparece na vítima quando os dados no computador agora estão criptografados, como no caso do TorrentLocker, que, como mencionamos, foi emprestado do CryptoLocker. Mas semelhanças também foram encontradas na página de pagamento.

CryptoFortress

Pesquisadores de segurança relatam que os desenvolvedores do CryptoFortress adotaram os padrões HTML e o código CSS do TorrentLocker. No entanto, os pontos em comum não param por aí, pois o sistema de código e criptografia disponível no novo ransomware, bem como o método de distribuição, não são os mesmos.

Os pesquisadores da ESET (reconhecendo-o como Win32 / Kryptik.DAPB) criaram uma lista de todos os pontos comuns no malware de criptografia usado e, além do algoritmo de criptografia (AES-256), a criptografia de chave AES (RSA- 1024) e o fato de a página de pagamento estar oculta na rede anônima Tor, não tem muito em comum.

O CryptoFortress se espalha por kits de exploração, não por mensagens de spam. O local da página de resgate está no código do malware, não no centro de controle da C&C.

Além disso, a biblioteca criptográfica usada pelo CryptoFortress é o CryptoAPI da Microsoft, enquanto o TorrentLocker usa o LibTomCrypt de código aberto.

Outra diferença é que o novo malware criptografa a primeira metade do arquivo ou até 5 MB e a quantidade de resgate solicitada é de cerca de US $ 500, que devem ser pagos em Bitcoin.

O primeiro relatório sobre o CryptoFortress foi feito no início deste mês pelo pesquisador de malware da Kafeine, que monitora as alterações nos kits de exploração. Uma indicação de infecção é que os arquivos usam “FRTRSS” como uma extensão.

O analista de segurança Lexsi revelou que a chave AES usada para criptografar dados no disco rígido foi armazenada localmente no arquivo HTML (o arquivo é chamado “LER SE VOCÊ QUER SE ARREPENDER SEUS ARQUIVOS”) e é protegido por chave pública (RSA 1024).

Além das unidades locais, o ransomware também atinge unidades de disco correspondentes e arquivos de rede compartilhados, destruindo efetivamente o que encontra. Prefere backups para impedir a recuperação de arquivos.

Fonte: secnews.gr