Prim Hírek

Az ESET Win32/Filecoder.DI névvel illeti a TorrentLocker most elemzett verzióját. Az elnevezés a malware korai korszakából ered, hiszen a program ezt a “Bit Torrent Application” elnevezésű registry kulcs bejegyzést használta konfiguráció beállításainak tárolására.

Hogyan működik a zsarolóprogram?

Az ESET összefoglalója szerint a TorrentLocker hét különböző módon terjedt és a telemetriai mérésnek köszönhetően kiderült, hogy a malware első nyomai 2014 februárjában bukkantak fel. A rosszindulatú program folyamatosan fejlődik, legfejlettebb változata augusztustól szedte áldozatait.

A zsarolóprogramnak ez a változata dokumentumokat, képeket és egyéb fontos fájlokat titkosít a felhasználó eszközén és váltságdíj fejében engedélyezi a hozzáférést a fájlokhoz. Jellegzetessége, hogy a váltságdíjat kizárólag virtuális valutában lehet kifizetni és akár 4 bitcoint (ez nagyjából 1180 euró vagy 1500 dollár) is követelhet. Az utolsó kampányban a TorrentLocker 40 000 számítógépet fertőzött meg és több mint 280 millió dokumentumot titkosított. A célzott országok zöme európai volt, de a fertőzés Kanadában, Ausztráliában és Új-Zélandon is megjelent. Szerencsére „csak” 570 áldozat fizette ki a váltságdíjat, így összesen 585,401 bitcoin ütötte a TorrentLocker mögött álló emberek markát.

“Azt gondoljuk, hogy a TorrentLocker mögött álló személyek ugyanazok, akik a Hesperbot nevű banki trójai család mögött álltak. - mondta Marc-Etienne M. Léveillé, az ESET kanadai kutatója. „A TorrentLocker-ben a támadók reagáltak az online biztonságtechnikai jelentésekre, hiszen megkerülik az ilyen típusú kártevők felismerésére szolgáló eljárásokat és megváltoztatták az AES (Advanced Encryption Standards) titkosítási módszerüket CTR-ről (Counter mode) CBC típusúra (Cipher block chaining mode), annak hatására, hogy ismertté vált egy módszer a kulcsfolyamuk megszerzésére. Ennek következtében a TorrentLocker áldozatai már nem tudják visszaállítani a dokumentumaikat az elkódolt fájljaik és az egyszerű szöveges állományának kombinálásával megszerzett kulcsfolyam segítségével.”

A későbbi áldozat egy fertőzött dokumentumot tartalmazó kéretlen e-mailt kap. A mellékelt fájl megnyitása általában egy ki nem fizetett számlát, csomagok nyomon követését vagy kifizetetlen gyorshajtási büntetést tartalmaz. Az e-mail hitelességét erősíti, hogy az áldozat közvetlen környezetéből származó üzleti vagy kormányzati honlapokat utánoz. Ha olyan áldozat olvasta az emailt, aki nem a célországból kattintott a linkre és kezdeményezte az oldal letöltését, akkor automatikusan a Google search oldalra irányította a kártevő. „Az áldozatok becsapásának érdekében a támadók CAPTCHA képeket is illesztettek a levelekbe, így keltve hamis biztonságérzetet.“ – magyarázza Léveillé.