« Vissza a hírarchívumba
2014.12.17.

A vezető, proaktív védelmet kínáló biztonságtechnológiai vállalat, az ESET kanadai kutatói megvizsgálták az először az év elején megjelenő TorrentLocker nevű zsarolóprogram működését. A malware legutolsó változata legalább 40 000 rendszert fertőzött meg pár hónap alatt, leginkább európai országokban szedve áldozatait. Az ESET biztonsági kutatói most elkészítették a zsarolóprogramra vonatkozó kutatás háttéranyagát, amely a malware viselkedésének vizsgálatát és részletes elemzését tartalmazza.

 

Az ESET Win32/Filecoder.DI névvel illeti a TorrentLocker most elemzett verzióját. Az elnevezés a malware korai korszakából ered, hiszen a program ezt a „Bit Torrent Application” elnevezésű registry kulcs bejegyzést használta konfiguráció beállításainak tárolására.

Hogyan működik a zsarolóprogram?
Az ESET összefoglalója szerint a TorrentLocker hét különböző módon terjedt és a telemetriai mérésnek köszönhetően kiderült, hogy a malware első nyomai 2014 februárjában bukkantak fel. A rosszindulatú program folyamatosan fejlődik, legfejlettebb változata augusztustól szedte áldozatait.

A zsarolóprogramnak ez a változata dokumentumokat, képeket és egyéb fontos fájlokat titkosít a felhasználó eszközén és váltságdíj fejében engedélyezi a hozzáférést a fájlokhoz. Jellegzetessége, hogy a váltságdíjat kizárólag virtuális valutában lehet kifizetni és akár 4 bitcoint (ez nagyjából 1180 euró vagy 1500 dollár) is követelhet. Az utolsó kampányban a TorrentLocker 40 000 számítógépet fertőzött meg és több mint 280 millió dokumentumot titkosított. A célzott országok zöme európai volt, de a fertőzés Kanadában, Ausztráliában és Új-Zélandon is megjelent. Szerencsére „csak” 570 áldozat fizette ki a váltságdíjat, így összesen 585,401 bitcoin ütötte a TorrentLocker mögött álló emberek markát.

„Azt gondoljuk, hogy a TorrentLocker mögött álló személyek ugyanazok, akik a Hesperbot nevű banki trójai család mögött álltak.” - mondta Marc-Etienne M. Léveillé, az ESET kanadai kutatója. „A TorrentLocker-ben a támadók reagáltak az online biztonságtechnikai jelentésekre, hiszen megkerülik az ilyen típusú kártevők felismerésére szolgáló eljárásokat és megváltoztatták az AES (Advanced Encryption Standards) titkosítási módszerüket CTR-ről (Counter mode) CBC típusúra (Cipher block chaining mode), annak hatására, hogy ismertté vált egy módszer a kulcsfolyamuk megszerzésére. Ennek következtében a TorrentLocker áldozatai már nem tudják visszaállítani a dokumentumaikat az elkódolt fájljaik és az egyszerű szöveges állományának kombinálásával megszerzett kulcsfolyam segítségével.”

Hogyan terjed a fertőzés?
A későbbi áldozat egy fertőzött dokumentumot tartalmazó kéretlen e-mailt kap. A mellékelt fájl megnyitása általában egy ki nem fizetett számlát, csomagok nyomon követését vagy kifizetetlen gyorshajtási büntetést tartalmaz. Az e-mail hitelességét erősíti, hogy az áldozat közvetlen környezetéből származó üzleti vagy kormányzati honlapokat utánoz. Ha olyan áldozat olvasta az emailt, aki nem a célországból kattintott a linkre és kezdeményezte az oldal letöltését, akkor automatikusan a Google search oldalra irányította a kártevő. „Az áldozatok becsapásának érdekében a támadók CAPTCHA képeket is illesztettek a levelekbe, így keltve hamis biztonságérzetet.” – magyarázza Léveillé.

A kutatás és a malware bemutatása WeLiveSecurity.com blogon érhető el:
http://www.welivesecurity.com/2014/12/16/torrentlocker-racketeering-ransomware-disassembled-by-eset-experts/

A részletes elemezés (white paper) pedig itt olvasható:
http://www.welivesecurity.com/wp-content/uploads/2014/12/torrent_locker.pdf