TorrentLocker, le crypto-ransomware ciblant des pays spécifiques, a reçu des améliorations le rendant plus difficile à traquer et à analyser. Il fournit également des mesures supplémentaires pour éviter d’attaquer les utilisateurs venant des pays sélectionnés.
Analysé par ESET en 2014, le crypto-ransomware TorrentLocker est toujours actif et, grâce à la façon dont il choisit ses victimes potentielles via des spams ciblés, n’attire pas l’attention que l’on prête généralement aux crypto-ransomwares. Cependant, les chercheurs ESET ont continué de garder un œil sur ce malware.
« Le gang derrière TorrentLocker semble toujours être de la partie. Les cybercriminels ont amélioré leurs tactiques et ont apporté progressivement des innovations au ransomware tout en veillant à rester sous les radars », explique Marc-Etienne Léveillé, ESET Malware Researcher.
TorrentLocker se présente sous la forme d’un e-mail qui encourage à ouvrir le document joint (prétendant un projet de loi ou un code suivi). Si le document infecté est téléchargé et ouvert par l’utilisateur, TorrentLocker s’exécute. Il débute alors une communication avec le serveur C&C et chiffre les fichiers de la victime.
Une caractéristique bien connue de TorrentLocker réside dans la localisation du téléchargement, de la rançon et des pages de paiement. Les victimes reçoivent ensuite des informations dans leur propre langue et dans leur monnaie locale.
Les améliorations apportées récemment à TorrentLocker portent sur les mécanismes de protection des utilisateurs d’Internet dans les pays sélectionnés.
En contactant les serveurs C&C, TorrentLocker attaque la protection du serveur C&C via une couche supplémentaire de chiffrement tout en réduisant le rôle des mécanismes de chiffrement propres aux utilisateurs.
L’une des améliorations notables de cryptolocker est aussi l’ajout d’un script dans la chaîne menant au fichier « .exec » infecté.
« Le lien contenu dans le message de l'e-mail infecté dirige désormais vers un script PHP hébergé sur un serveur compromis. Ce script vérifie si le visiteur est situé dans le pays visé et, si oui, redirige vers la page où le malware sera téléchargé. Sinon, le visiteur est redirigé vers Google », explique Marc-Etienne Léveillé.
En analysant le malware et ses campagnes, les chercheurs ESET ont constaté que 22 pays ont reçu une version localisée de la page de rançon ou de paiement. Cependant, 7 d’entre eux n’ont pas été touchés jusqu’à présent par une campagne massive de spams TorrentLocker : La France, le Japon, le Portugal, la République de Corée, Taïwan et la Thaïlande.
Les détails concernant le crypto-malware TorrentLocker sont disponibles sur WeLiveSecurity.
Pour recevoir des conseils avisés afin de se prémunir de ce crypto-ransomware, cliquez ici.