Malware she asks for liters to allow her access in user files, extorting unsuspecting victims.
The researchers' team ESET in Canada analyzed a widely spread malware ransomware, known as TorrentLocker, the spread of which began at the beginning of 2014 and aimed unsuspecting victims. The latest variant of the malware has infected at least 40.000 systems over the past few months, mostly targeting European countries. The ESET research team has prepared an extensive report, in which it presents all its findings researchand analysis of malware behavior as well as a related blog post on WeLiveSecurity.com.
ESET telemetry detects TorrentLocker as Win32 / Filecoder.Dl. Its name comes from the key registery that used the malware to store configuration information under the fake name "Bit Torrent Application" when this filecoder started to evolve.
Αυτή η οικογένεια ransomware κρυπτογραφεί έγγραφα, εικόνες και άλλα αρχεία στη συσκευή του χρήστη και απαιτεί λύτρα για να επιτρέψει την πρόσβαση στα αρχεία του. Η τυπική υπογραφή του είναι η πληρωμή λύτρων αποκλειστικά με crypto-currency – μέχρι 4,081 Bitcoin (1.180 ευρώ ή 1.500 δολάρια). Στις τελευταίες εκστρατείες, το TorrentLocker έχει μολύνει 40.000 συστήματα και έχει κρυπτογραφήσει 280 εκατομμύρια έγγραφα στοχεύοντας σε χώρες κυρίως της Ευρώπης, αλλά και σε χρήστες σε Καναδά, Αυστραλία και Νέα Ζηλανδία. Από αυτές τις περιπτώσεις, μόνο 570 θύματα πλήρωσαν τα λύτρα, που απέφεραν στους δράστες πίσω από το TorrentLocker το ποσό των 585.401 αμερικάνικων δολαρίων σε Bitcoin.
The ESET researchers' report has examined and analyzed seven different ways of spreading TorrentLocker. According to ESET's telemetry data, the first traces of this malware date back to February 2014. Malware is constantly evolving, with its most advanced version running since August 2014.
«Πιστεύουμε ότι οι δράστες πίσω από το TorrentLocker είναι οι ίδιο με εκείνους πίσω από την οικογένεια του banking trojan Hesperbot» δήλωσε ο Marc-Etienne M. Léveillé, ερευνητής της ESET από τον Καναδά. «Επιπλέον, με το TorrentLocker, οι δράστες αντιδρούν στις online εκθέσεις ξεπερνώντας τους Δείκτες Παραβίασης που χρησιμοποιούνται για την ανίχνευση του κακόβουλου λογισμικού και τροποποιώντας τον τρόπο χρήσης των Προτύπων Κρυπτογράφησης AES (Advanced Encryption Standards) from Counter mode (CTR) to CBC (Cipher block chaining) mode after revealing a method of extracting the codes". This means that TorrentLocker victims can no longer recover all their documents by combining an encrypted file and its plain text to recover the password.
How does the infection spread? The victim receives a spam e-mail with a malicious document and is driven to open the attached file, usually unapproved invoices, packet tracking updates or unpaid calls. The reliability of e-mail increases as it resembles business sites or the state of the victim's place. By opening the spam message, if the victim clicks the link that leads to the download page while not in one of the attacked countries, it will be redirected to the Google search page. "To deceive the victims, the perpetrators have introduced CAPTCHA images creating a false sense of security," explains Léveillé.
More information about TorrentLocker ransomware is available on ESET's website with security news WeLiveSecurity.com. The first data on research and malware is on the blog. The analytical report is here.
