Эксперты антивирусной компании ESET проанализировали новые версии трояна-вымогателя TorrentLocker, который распространяется в фишинговых письмах под видом официальных уведомлений почтовых служб, телекоммуникационных или энергетических компаний. Само письмо содержит ссылку на исполняемый файл TorrentLocker, после загрузки которого программа шифрует файлы пользователя.

Данный шифратор известен с 2014 года, и, как отмечается в отчёте, алгоритм его работы с тех пор не претерпел кардинальных изменений. Однако злоумышленники все же внедрили несколько обновлений.

Так, после блокировки файлов TorrentLocker определяет местонахождение жертвы по IP-адресу и требует выкуп на актуальном языке в соответствующей валюте. Аналитикам удалось установить, что в списке стран, «поддерживаемых» вымогателем, значатся Австралия, Австрия, Великобритания, Германия, Испания, Нидерланды, Франция, Чехия и др. А вот Россия, Украина, США и Китай туда по каким-то причинам не попали — программа попросту отказывается шифровать файлы жертв из этих стран.

Как и прежде, TorrentLocker шифрует файлы на компьютере жертвы, свои конфигурационные файлы и данные для командного сервера — только теперь вместо криптографической библиотеки LibTomCrypt использует функции Microsoft CryptoAPI. При  этом системные файлы Windows не затрагиваются — новые версии TorrentLocker содержат список исключений, согласно которым шифрование файлов .exe, .dll и .sys не допускается. Вместе с тем размер шифруемой части файла сократился до одного мегабайта.