Το TorrentLocker, που η ESET είχε αναλύσει το 2014, εξακολουθεί να είναι ενεργό, και, χάρη στον τρόπο επιλογής των υποψήφιων θυμάτων με στοχευμένα spam, αποφεύγει την προσοχή που λαμβάνουν τα πιο γνωστά crypto-ransomware. Ωστόσο, οι ερευνητές της ESET εξακολουθούν να παρακολουθούν το συγκεκριμένο κακόβουλο λογισμικό.
«Η συμμορία πίσω από TorrentLocker φαίνεται ότι εξακολουθεί να είναι στο παιχνίδι. Έχουν βελτιώσει την τακτική τους και έχουν ανανεώσει σιγά-σιγά αυτό το ransomware, προσπαθώντας να το διατηρούν μη ανιχνεύσιμο» λέει ο Marc-Etienne M. Léveillé, ερευνητής malware της ESET.
Το TorrentLocker εξαπλώνεται μέσω μηνυμάτων ηλεκτρονικού ταχυδρομείου με μια σελίδα που υποστηρίζει ότι πρέπει να γίνει λήψη ενός «εγγράφου» (υποτίθεται ότι πρόκειται για τιμολόγιο ή αρχείο με κωδικό εντοπισμού). Αν γίνει λήψη του κακόβουλου «εγγράφου» και ανοιχτεί από το χρήστη, το TorrentLοcker εκτελείται. Ξεκινά την επικοινωνία του με το C&C server και κρυπτογραφεί τα αρχεία του θύματος.
Ένα πολύ γνωστό χαρακτηριστικό του TorrentLοcker είναι το πόσο τοπικά εστιασμένες είναι οι λειτουργίες της λήψης, των λύτρων και των σελίδων πληρωμής. Στα θύματα παρέχονται πληροφορίες στη δική τους γλώσσα και στο τοπικό τους νόμισμα.
Οι βελτιώσεις στο TorrentLocker ξεπερνούν τους μηχανισμούς προστασίας των χρηστών του διαδικτύου σε επιλεγμένες χώρες, δηλαδή οι τρόποι επικοινωνίας του TorrentLοcker με τους διακομιστές Command-and-Control, η προστασία του C&C server με ένα επιπλέον στρώμα κρυπτογράφησης, οι τεχνικές αποφυγής του εντοπισμού και η διαδικασία κρυπτογράφησης των αρχείων των χρηστών.
Ένα από τα σημαντικότερα βελτιωμένα χαρακτηριστικά του CryptoLocker είναι η προσθήκη ενός script στην αλυσίδα που οδηγεί στο τελικό κακόβουλο εκτελέσιμο αρχείο.
«Ο σύνδεσμος στο spam μήνυμα ηλεκτρονικού ταχυδρομείου οδηγεί σε ένα PHP script που φιλοξενείται σε ένα παραβιασμένο διακομιστή. Αυτό το script ελέγχει αν ο επισκέπτης περιηγείται στη στοχευμένη χώρα και, αν ναι, θα εμφανιστεί η σελίδα με το επόμενο στάδιο αυτού του κακόβουλου λογισμικού. Σε αντίθετη περίπτωση, ο επισκέπτης ανακατευθύνεται στην Google» εξηγεί ο Marc-Etienne M. Léveillé.
Στην ανάλυση αυτού του κακόβουλου λογισμικού και των εκστρατειών του, οι ερευνητές της ESET διαπίστωσαν ότι 22 χώρες έλαβαν μια μεταφρασμένη έκδοση της σελίδας για λύτρα ή για πληρωμή. Ωστόσο, 7 από αυτές δεν έχουν πληγεί μέχρι στιγμής από οποιαδήποτε σημαντική εκστρατεία spam TorrentLocker. Πρόκειται για τη Γαλλία, την Ιαπωνία, τη Μαρτινίκα, την Πορτογαλία, τη Δημοκρατία της Κορέας, την Ταϊβάν και την Ταϊλάνδη.
Λεπτομέρειες σχετικά με τις βελτιώσεις στο crypto-malware TorrentLocker είναι διαθέσιμες στο αναλυτικό άρθρο στο επίσημο blog της ESET, WeLiveSecurity.