A fost identificată o actualizare a ransomware-ului TorrentLocker
Cercetătorii de la ESET au identificat actualizări pentru cripto-ransomware-ul TorrentLocker care îl fac să fie mai greu de urmărit și oprit.
Cercetători ESET au identificat actualizări pentru cripto-ransomware TorrentLocker. Astfel, acesta a devenit mai greu de urmărit şi de analizat. Compania a început să îl analizeze în 2014, iar acum a descoperit că este încă activ şi reuşeşte să scape filtrelor prin modul în care vizează victimele potenţiale: spam direcţionat. TorrentLocker este distribuit prin intermediul mesajelor mail care fac legătura cu o pagină web. Acolo, pretinde că un „document“ (de regulă, sub forma unei facturi sau unui cod de urmărire de colet) trebuie descărcat. În cazul în care „documentul“ maliţios este descărcat şi deschis de către utilizator, TorrentLocker este activt. Acesta începe comunicarea cu serverul de comandă şi control (C&C) şi criptează fişierele victimei, scrie adevarul.ro.
O caracteristică bine-cunoscută pentru TorrentLocker este modul în care sunt localizate paginile de descărcare, de răscumpărare și de plată. Victimelor li se furnizează informații în limba și în moneda locală, scrie agora.ro.
Una dintre cele mai notabile îmbunătățiri ale caracteristicilor lui CryptoLocker ține de adăugarea unui script în lanțul de execuție ce duce la executabilul final.
“Link-ul din e-mailul de tip spam conduce acum la un script PHP găzduit pe un server compromis. Scriptul verifică dacă vizitatorul ce navighează pe internet se află în țara vizată, iar în cazul în care acest lucru este conform planului, utilizatorul va fi redirecționat către o pagină unde va fi descărcată următoarea etapă a acestui malware. În caz contrar, vizitatorul este redirecționat către Google,” explică Marc-Etienne M. Léveillé, cercetător malware la ESET.
În analizarea acestui malware și a campaniilor sale, cercetătorii de la ESET au constatat faptul că 22 de țări au primit o versiune localizată a paginii pentru răscumpărare. Cu toate acestea, 7 dintre acestea nu au fost afectate încă de nicio campanie majoră de spam legată de TorrentLocker. Acestea sunt Franța, Japonia, Martinica, Portugalia, Coreea, Taiwan și Thailanda.
Bogdan Pismicenco, Channel manager România, Bulgaria şi Republica Moldova la Kaspersky Lab, citat de businessmagazin.ro, spune că: „Publicitatea masivă făcută în jurul programelor ransomware în ultimul timp dă naştere la o concepţie greşită, aceea că industria de securitate IT nu poate opri un astfel de program.”
Tot el explică și de ce. „În primul rând, ratele de detecţie pentru „cryptors“ sunt la fel de mari ca pentru orice alt tip de malware. Soluţiile moderne de securitate pot detecta chiar atacuri necunoscute, prin analiza comportamentului unui fişier lansat. În al doilea rând, marea majoritate a acestor atacuri se bazează pe o tehnologie malware mai degrabă clasică şi sunt, prin urmare, uşor de blocat. Doar o mică parte dintre mostre folosesc tehnici mai elaborate, încercând să evite detecţia de către software-ul de securitate. Deci, din punctul de vedere al securităţii, putem spune că ransomware-ul nu este diferit de alte programe malware.”