Malware blames unsuspecting victims

Malware requests liters to allow access to user files, by blackmailing unsuspecting victims.

The researchers' team ESET in Canada analyzed a widely spread malware ransomware, known as TorrentLocker, the spread of which began at the beginning of 2014 and aimed unsuspecting victims. The latest version of malware has infected at least 40.000 systems over the last few months, targeting mainly European countries. ESET's research team has prepared an extensive report presenting all research findings and malware behavior analysis as well as a related blog post at WeLiveSecurity.com.

ESET telemetry detects TorrentLocker as Win32 / Filecoder.Dl. Its name comes from the registry key used by the malware to store configuration information with the fake Bit Torrent Application when this filecoder began to evolve.

Αυτή η οικογένεια ransomware κρυπτογραφεί έγγραφα, εικόνες και άλλα αρχεία στη συσκευή του χρήστη και απαιτεί λύτρα για να επιτρέψει την πρόσβαση στα αρχεία του. Η τυπική υπογραφή του είναι η πληρωμή λύτρων αποκλειστικά με crypto-currency – μέχρι 4,081 Bitcoin (1.180 ευρώ ή 1.500 δολάρια). Στις τελευταίες εκστρατείες, το TorrentLocker έχει μολύνει 40.000 συστήματα και έχει κρυπτογραφήσει 280 millions έγγραφα στοχεύοντας σε χώρες κυρίως της Ευρώπης, αλλά και σε χρήστες σε Καναδά, Αυστραλία και Νέα Ζηλανδία. Από αυτές τις περιπτώσεις, μόνο 570 θύματα πλήρωσαν τα λύτρα, που απέφεραν στους δράστες πίσω από το TorrentLocker το ποσό των 585.401 αμερικάνικων δολαρίων σε Bitcoin.

The ESET researchers' report has examined and analyzed seven different ways of spreading TorrentLocker. According to ESET's telemetry data, the first traces of this malware date back to February 2014. Malware is constantly evolving, with its most advanced version running since August 2014.

"We believe the perpetrators behind TorrentLocker are the same as those behind the Hesperbot banking trojan family," said Marc-Etienne M. Léveillé, ESET researcher from Canada. "Furthermore, with TorrentLocker, perpetrators react to online exposures by bypassing the Violation Indicators used to detection of the malicious software και τροποποιώντας τον τρόπο χρήσης των Προτύπων Κρυπτογράφησης AES (Advanced Encryption Standards) από λειτουργία Counter mode (CTR) σε λειτουργία CBC (Cipher block chaining) κατόπιν αποκάλυψης μίας μεθόδου εξαγωγής των κωδικών». Αυτό σημαίνει ότι τα θύματα του TorrentLocker δεν μπορούν να ανακτήσουν πλέον όλα τα έγγραφα τους συνδυάζοντας ένα κρυπτογραφημένο αρχείο και το απλό του κείμενο για να ανακτήσουν τον κωδικό.

Πώς εξαπλώνεται η μόλυνση; Το θύμα λαμβάνει ένα spam e-mail με κακόβουλο έγγραφο και οδηγείται να ανοίξει το συνημμένο αρχείο, συνήθως επισυνάπτονται απλήρωτα τιμολόγια, ενημερώσεις για παρακολούθηση πακέτων ή απλήρωτες κλήσεις. Η αξιοπιστία του e-mail αυξάνεται καθώς προσομοιάζει σε ιστότοπους επιχειρήσεων ή του κράτους του τόπου του θύματος. Ανοίγοντας το spam μήνυμα, αν το θύμα πατήσει το link που οδηγεί στη σελίδα λήψης ενώ δεν βρίσκεται σε μία από τις χώρες που έχουν δεχτεί την επίθεση, θα ανακατευθυνθεί στη σελίδα αναζήτησης της Google. «Για να ξεγελάσουν τα θύματα, οι δράστες έχουν εισάγει εικόνες CAPTCHA δημιουργώντας μία ψευδή αίσθηση ασφάλειας», εξηγεί ο Léveillé.

More information about TorrentLocker ransomware is available on ESET's website with security news WeLiveSecurity.com. The first data on research and malware is on the blog. The analytical report is here.

Author information

SecNews

SecNews is a dedicated website that gives the opportunity to its visitors to be informed about the latest security news and trends in the IT industry.
SecNews