TorrentLocker es un nuevo ransomware de pocos días de
vida que está generando una gran amenaza por la red debido a que es bastante
complicado de identificar y se distribuye por la red de forma oculta en
mensajes de spam o a través de descargas maliciosas. Este ransomware mezcla
partes del código del conocido ransomware CryptoLocker junto a otras partes
internas del comportamiento de CryptoWall añadiendo también gran parte de
código subyacente propio, único y, por el momento, desconocido.
Detalle del nuevo ransomware
TorrentLocker
- Este ransomware muestra en sus víctimas un mensaje muy similar al que muestra CryptoLocker a las suyas, aunque los expertos de seguridad afirman que su comportamiento es mucho más parecido al de CryptoWall debido a que las partes internas del código correspondientes al comportamiento han sido sacadas de este último.
- Al igual que otras piezas de malware similares, el pago por rescatar los archivos cifrados por este malware se realiza mediante una transferencia en Bitcoin a una cuenta especificada en el mismo malware.
- En cuanto al comportamiento interno, antes de comenzar el cifrado de los archivos el malware establece un canal de comunicación seguro de comando y control (C&C) con un servidor desde donde se descarga un certificado y el archivo de configuración. Esto implica que, sin una conexión activa a Internet (o con un firewall restrictivo) este ransomware no podría cifrar los archivos del usuario al no poder establecer conexión con el servidor.
- El algoritmo de cifrado que utiliza este malware es cifrado Rijndael utilizando una clave pública y una privada para el proceso. La clave pública está siempre en posesión del pirata informático y, sin ella, no se puede descifrar ningún archivo.
- Como característica curiosa (y para demostrar que el descifrado es posible y animar a las víctimas a pagar el rescate) TorrentLocker ofrece al usuario la posibilidad de descifrar un único archivo de forma gratuita.
- Este ransomware no se ha dejado ver en el mercado negro, lo que sugiere que los propios piratas informáticos que lo utilizan son quienes lo han desarrollado desde cero. Por el momento este malware no supone una verdadera amenaza para los usuarios, aunque es posible que los próximos días (o semanas) su actividad aumente exponencialmente y llegue a convertirse en una amenaza grave a la altura de CryptoLocer o CryptoWall.