Ezzel a károkozóval nem érdemes összefutni

A TorrentLocker nevű zsaroló programot jobb messziről elkerülni, mert az általa okozott károk könnyen helyreállíthatatlanná válhatnak.
 

Az ESET kanadai kutatói vizsgálták meg a TorrentLocker nevű zsarolóprogramot, amely több tízezer számítógép és több millió fájl használhatatlanná tételéért felelős. A Filecoder.DI névvel is illetett károkozó elnevezése a malware korai korszakából ered, amikor a program a "Bit Torrent Application" regisztrációs adatbázisbeli bejegyzést használta a konfigurációs adatainak tárolására.

Hogyan működik a zsarolóprogram?

A TorrentLocker eddig hét különböző módon terjedt. Telemetriai mérésekkel kiderült, hogy a malware első szárnypróbálgatásai 2014 februárjában kezdődtek, és azóta folyamatosan fejlődött. A legkifinomultabb változata idén augusztustól szedi áldozatait.

A zsarolóprogram legújabb variánsa dokumentumokat, képeket és egyéb fontos fájlokat titkosít a felhasználó eszközén, és csak váltságdíj fejében engedélyezi a hozzáférést az állományokhoz. A váltságdíjat kizárólag virtuális valutában lehet kifizetni, és akár 4 bitcoint (ez nagyjából 1500 dollár) is követelhet. 
Az utolsó támadási hullámban a TorrentLocker 40.000 számítógépet fertőzött meg, és több mint 280 millió dokumentumot titkosított. A célzott országok zöme európai volt, de a fertőzés Kanadában, Ausztráliában és Új-Zélandon is megjelent. Információk szerint eddig több mint félezer felhasználó fizette ki a váltságdíjat, vagyis akár félmillió dollárt is kasszírozhattak a csalók.
"A TorrentLockerrel a támadók gyorsan reagáltak az online biztonsági jelentésekre, hiszen már megkerülik az ilyen típusú kártevők felismerésére szolgáló eljárásokat, és megváltoztatták az AES (Advanced Encryption Standards) titkosítási módszerüket CTR-ről (Counter mode) CBC típusúra (Cipher block chaining) annak hatására, hogy ismertté vált egy módszer a dekódoláshoz szükséges kulcsok megszerzéséhez. Ennek következtében a TorrentLocker áldozatai már nem tudják visszaállítani az elkódolt dokumentumaikat" - mondta Marc-Etienne M. Léveillé, az ESET kanadai kutatója.

Hogyan terjed a fertőzés? 

Az áldozat egy fertőzött dokumentumot tartalmazó kéretlen e-mailt kap. A mellékelt fájl általában egy ki nem fizetett számlát, csomagok nyomon követéséről szóló dokumentumot vagy kifizetetlen gyorshajtási bírságról szóló határozatot tartalmaz. Az e-mailek hitelességét látszólag az erősíti, hogy azok az áldozat közvetlen környezetéből származó üzleti vagy kormányzati honlapokat utánoznak. Ha olyan felhasználó olvassa az e-mailt, aki nem a célországból kattintott a linkre, és kezdeményezte a káros oldal letöltését, akkor automatikusan a Google kereső oldalára irányítják át. "Az áldozatok becsapásának érdekében a támadók CAPTCHA képeket is illesztettek már a levelekbe, így keltve hamis biztonságérzetet" - tette hozzá Léveillé.
A TorrentLocker és a hasonló kártékony programok elleni védekezés során nemcsak a víruskeresőkre hárul fontos szerep, hanem a rendszeres biztonsági mentésekre is. A mentéseket célszerű fizikailag is távol tartani a védett számítógépektől, ugyanis a zsaroló programok minden csatlakoztatott és írható adattárolón károsíthatják az állományokat. A váltságdíjat pedig nem érdemes kifizetni, mert semmi sem garantálja azt, hogy a csalók megadják a helyreállításhoz szükséges információkat.