TorrentLocker, temutul malware care criptează fişiere şi cere taxă de răscumpărare, a primit îmbunătăţiri

TorrentLocker, temutul malware care criptează fişiere şi cere taxă de răscumpărare, a primit îmbunătăţiri

Cercetătorii ESET au identificat actualizări pentru cripto-ransomware-ul TorrentLocker, care îl fac mai greu de urmărit şi de analizat.

TorrentLocker, analizat de către ESET în anul 2014, este încă activ, iar datorită modului în care acesta vizează victimele potenţiale cu spam direcţionat, reuşeşte să evite atenţia pe care o primeşte cel mai proeminent cripto-ransomware. Cu toate acestea, cercetătorii ESET au continuat să urmărească evoluţia acestui malware.

 “Grupul din spatele TorrentLocker pare a se menţine pe poziţii. A fost îmbunătăţită tactica, iar ransomware-ul a avut parte de mici inovaţii, în timp ce s-a încercat menţinerea în afara zonei de detecţie”, afirmă Marc-Etienne M. Léveillé, cercetător malware la ESET.

TorrentLocker este distribuit prin intermediul unor mesaje email care fac legătura cu o pagină web, unde se pretinde că un „document” (aparent o factură sau un cod de urmărire de colet) trebuie descărcat. În cazul în care “documentul” maliţios este descărcat şi deschis de către utilizator, TorrentLocker este executat. Acesta începe comunicarea cu serverul de comandă şi control (C&C) şi criptează fişierele victimei.

O caracteristică bine-cunoscută pentru TorrentLocker este modul în care sunt localizate paginile de descărcare, de răscumpărare şi de plată. Victimelor li se furnizează informaţii în limba şi în moneda locală.

Îmbunătăţirile aduse atacurilor TorrentLocker vizează mecanismele prin care sunt contactate serverele sale de comandă şi control, protecţia serverelor de C&C printr-un strat suplimentar de criptare şi mascare precum şi procesul de criptare a fişierelor utilizatorilor.

Una dintre cele mai notabile îmbunătăţiri ale caracteristicilor lui CryptoLocker ţine de adăugarea unui script în lanţul de execuţie ce duce la executabilul final.

Link-ul din e-mailul de tip spam conduce acum la un script PHP găzduit pe un server compromis. Scriptul verifică dacă vizitatorul ce navighează pe internet se află în ţara vizată, iar în cazul în care acest lucru este conform planului, utilizatorul va fi redirecţionat către o pagină unde va fi descărcată următoarea etapă a acestui malware. În caz contrar, vizitatorul este redirecţionat către Google,” explică Marc-Etienne M. Léveillé.

În analizarea acestui malware şi a campaniilor sale, cercetătorii ESET au constatat faptul că 22 de ţări au primit o versiune localizată a paginii pentru răscumpărare. Cu toate acestea, 7 dintre acestea nu au fost afectate încă de nicio campanie majoră de spam legată de TorrentLocker. Acestea sunt Franţa, Japonia, Martinica, Portugalia, Coreea, Taiwan şi Thailanda.

Adrian Popa
Adrian Popa
Adrian Popa este coordonator al site-urilor Go4it.ro, Go4games.ro și Apropotv.ro. Are 15 ani de experienţă în presa centrală şi a debutat ca jurnalist specializat pe economie/piețe financiare. Înainte de a ajunge la Grupul de presă Gândul, Adrian a fost redactor-șef la Mediafax.ro și Gandul.ro ... citește mai mult
Aurelian Mihai
Aurelian Mihai
Aurelian Mihai este cel mai vechi redactor al site-ului Go4it.ro. Are 14 ani de experienţă în presa IT şi cunoștințe ample din sfera tehnologiei. Înainte de a ajunge la Go4it, Aurelian a fost redactor pentru revista XtremPC, acoperind rubrica de știri, desfășurarea de teste comparative și ... citește mai mult