TorrentLocker, virusul care îţi cere bani, a fost actualizat pentru a fi mai greu de urmărit şi oprit
0Viruşii care blochează datele şi cer bani sunt cea mai costisitoare ameninţare informatică din prezent, iar acum specialişti în securitate cibernetică au identificat actualizări ale unuia dintre ei.
Cercetători ESET au identificat actualizări pentru cripto-ransomware TorrentLocker. Astfel, acesta a devenit mai greu de urmărit şi de analizat. Compania a început să îl analizeze în 2014, iar acum a descoperit că este încă activ şi reuşeşte să scape filtrelor prin modul în care vizează victimele potenţiale: spam direcţionat.
TorrentLocker este distribuit prin intermediul mesajelor mail care fac legătura cu o pagină web. Aoclo, pretinde că un „document“ (de regulă, sub forma unei facturi sau unui cod de urmărire de colet) care trebuie descărcat. În cazul în care „documentul“ maliţios este descărcat şi deschis de către utilizator, TorrentLocker este activt. Acesta începe comunicarea cu serverul de comandă şi control (C&C) şi criptează fişierele victimei.
O caracteristică a TorrentLocker este modul în care sunt localizate paginile de descărcare, de răscumpărare şi de plată. Victimelor le sunt furnizate informaţii în limba şi în moneda locală. Noutăţile atacurilor TorrentLocker vizează mecanismele prin care sunt contactate serverele sale de comandă şi control şi protecţia serverelor de C&C printr-un strat suplimentar de criptare şi mascare, dar şi procesul de criptare a fişierelor utilizatorilor.
Una dintre cele mai notabile îmbunătăţiri ale caracteristicilor lui CryptoLocker ţine de adăugarea unui script în lanţul de execuţie care duce la executabilul final. În analizarea acestui malware şi a campaniilor sale, cercetători ESET au constatat că 22 de ţări au primit o versiune localizată a paginii pentru răscumpărare. Cu toate acestea, şapte dintre acestea nu au fost afectate încă de nicio campanie majoră de spam legată de TorrentLocker. Acestea sunt Franţa, Japonia, Martinica, Portugalia, Coreea de Sud, Taiwan şi Thailanda.
Se încarcă comentariile...
