CryptoFortress เลียนแบบ TorrentLocker แต่เป็น Ransomware ที่แตกต่างกัน

สัปดาห์ที่ผ่านมา Kafeine ได้โพสต์ในบล็อกเกี่ยวกับการเริ่มต้นของ Ransomware โดย Nuclear Pack exploit kit ว่า Ransomware นี้ระบุตัวเองว่าเป็น “CryptoFortress” แต่ข้อความเรียกค่าไถ่และการชำระเงินทั้งสองหน้านั้นดูเหมือนว่าเป็น Ransomware ที่เป็นที่รู้จักแล้วในนามชื่อ “TorrentLocker”

หลังจากมีการวิเคราะห์เพิ่มเติม นักวิจัย ESET พบว่าสองภัยคุกคามนี้มีความแตกต่างกันมาก ซึ่งมันปรากฏกลุ่มที่อยู่เบื้องหลัง โดย CryptoFortress ได้ขโมยแม่แบบ HTML กับ CSS ของรหัสมัลแวร์และรูปแบบจริงที่แตกต่างกันมาก นี่คือตารางสรุปความเหมือนและความแตกต่าง

หน้าเรียกค่าไถ่ของ CryptoFortress

หน้าเรียกค่าไถ่ของ TorrentLocker

ความแตกต่างในหน้าเว็บ HTML

เมื่อวันศุกร์ที่ผ่านมา Renaud Tabary จาก Lexsi ได้ตีพิมพ์การวิเคราะห์ที่สมบูรณ์ของ Ransomware ใหม่ ซึ่งนักวิจัย ESET ได้วิเคราะห์ตัวอย่าง CryptoFortress ก่อนที่ Lexsi จะตีพิมพ์รายละเอียดออกมา รายละเอียดทางเทคนิคอธิบายไว้ในบทความตรงกับผลการวิจัยของเรา
ESET Telemetry ยังแสดงให้เห็นถึงการรณรงค์ TorrentLocker ที่ยังคงแพร่กระจายผ่านทางข้อความสแปม ซึ่งแคมเปญทั้งสองนี้ได้ดำเนินการในแบบคู่ขนาน
อ้างอิง
CryptoFortress: Teerac.A (aka TorrentLocker) got a new identity,
http://malware.dontneedcoffee.com/2015/03/cryptofortress-teeraca-aka.html
CryptoFortress,
http://www.lexsi-leblog.com/cert-en/cryptofortress.html
ตัวอย่างการวิเคราะห์

CryptoFortress public key
—–BEGIN PUBLIC KEY—–
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDmeXVlPGxKoOyvZgLUoyDdzPEH
8D6gKlAdZVKmbv2RTjjTAcyOY/40zloPX+iJupuvwO1B/yXlsHZD8y0x/jv7v6ML
jHxetmZxUjqv9gLQJE8mJBbU/h0qwc9R7LQwcMapLxvv9O6aMa3Bimjp7bP7WY/9
fXgr1m/wA6Tz/kxF+wIDAQAB
—–END PUBLIC KEY—–

ที่มา :blog.eset.co.th