Kanadský tím výskumníkov bezpečnostnej spoločnosti ESET analyzoval rozšírený prípad škodlivého kódu, ktorý od majiteľov infikovaných zariadení požaduje výkupné. Tejto kategórii škodlivého kódu sa hovorí ransomware. TorrentLocker, ako bol tento škodlivý kód pomenovaný, sa začal šíriť na začiatku roku 2014. Najnovší variant infikoval v priebehu posledných mesiacov minimálne 40-tisíc systémov primárne v európskych krajinách. Vysoký počet obetí sa nachádza aj v Rakúsku a v Českej republike.Tento ransomware na infikovanom zariadení šifruje dokumenty, obrázky a množstvo ďalších súborov a za ich opätovné sprístupnenie požaduje od majiteľa počítača výkupné. Jeho typickou vlastnosťou je, že výkupné žiada v digitálnej mene Bitcoin vo výške maximálne 4,081 Bitcoina, čo je približne 1100 eur. Počas poslednej kampane infikoval TorrentLocker 40-tisíc systémov a zašifroval viac než 280-miliónov dokumentov prevažne v európskych krajinách. Zo všetkých prípadov zaplatilo výkupné len 570 obetí. Napriek tomu útočníci za TorrentLockerom zarobili sumu od 230-tisíc do 500-tisíc eur v Bitcoinoch. ESET nedokáže zistiť presnú sumu zárobku výpalníkov, keďže v mnohých prípadoch ponúkali svojim obetiam zľavu.
„Myslíme si, že útočníci za TorrentLockerom sú ľudia zodpovední aj za bankového trójskeho koňa s názvom Hesperbot,“ hovorí Marc-Etienne M. Léveillé, výskumník z ESET Kanada. Hesperbot sa minulý rok zameral na klientov mnohých známych európskych bánk, v Českej republike zneužíval dobré meno Českej pošty. TorrentLocker sa šíri tak, že obeť dostane spamovú správu buď so škodlivým dokumentom alebo odkazom na škodlivý dokument, ktorý si musí obeť do počítača stiahnuť z falošnej webstránky. Titulok e-mailovej správy hovorí, že používateľovi je doručená buď nezaplatená faktúra, nezaplatená pokuta za prekročenú rýchlosť alebo informácia o sledovaní balíka. Pri odkaze na externú webstránku so škodlivým kódom je obeť oklamaná tým, že táto stránka imituje vzhľad webu miestnej spoločnosti alebo vládnej organizácie, čo u obete môže vyvolať falošný pocit bezpečnosti. Obeti sa falošné stránky zobrazujú na základe jej geografickej polohy. Napríklad používateľovi z Českej republiky sa zobrazí falošný web Českej pošty, ak je osoba z Rakúska, zobrazí sa jej falošný web doručovacej spoločnosti DHL.
„Návštevník, ktorý otvorí stránku v operačnom systéme inom ako Windows, bude vyzvaný, aby na návštevu stránky použil počítač so systémom Windows,“ dodáva Léveillé.ESET telemetria deteguje TorrentLocker ako Win32/Filecoder.DI. Jeho názov je odvodený z registračného kľúča používaného malvérom na uloženie konfiguračných informácií, pod falošným názvom „Bit Torrent Application“. Posledné verzie TorrentLocker už nepoužívajú túto kľúčovú cestu na uloženie informácií.
Rozsiahlu štúdiu o škodlivom kóde TorrentLocker si môžete v PDF formáte prečítať po kliknutí na obrázok.
O spoločnosti ESET Spoločnosť ESET je svetovým výrobcom bezpečnostného softvéru pre firemnú klientelu a domácnosti. Je lídrom na trhu proaktívnej detekcie počítačových hrozieb. Vďaka technológii Live Grid® využíva ESET dáta od dobrovoľných používateľov z celého sveta, a tak okamžite reaguje na nové hrozby. ESET drží vďaka zisku 80. ocenenia VB100 v júli 2013 rekord v počte týchto ocenení, ktoré udeľuje britský Virus Bulletin, vysoko-rešpektovaná nezávislá testovacia organizácia.ESET sídli v Bratislave, regionálne pobočky má v Prahe, ČR; Jene, Nemecko; San Diegu, USA; Buenos Aires, Argentína; Sydney, Austrália a Singapure. Výskumné centrá ESET pre analýzu malware sú okrem Bratislavy, aj v San Diegu, v Prahe, poľskom Krakove, kanadskom Montreale a v Moskve. ESET má zastúpenie vo viac ako 180 krajinách sveta. Firma už jedenásť rokov za sebou patrí podľa rebríčka Deloitte Technology Fast 500 EMEA medzi najrýchlejšie rastúce technologické spoločnosti v regióne Európy, Blízkeho východu a Afriky. Týždenník Trend ocenil ESET trikrát za sebou titulom Firma roka.
