ESET saugumo tyrėjai nustatė, kad duomenis šifruojantis ir išpirkos reikalaujantis virusas „TorrentLocker“ buvo patobulintas, todėl tapo dar sunkiau jį nustatyti ir analizuoti. Saugūs gali jaustis tik 7 šalių vartotojai.
Pasak saugumo ekspertų, „TorrentLocker“ taiko papildomas priemones, kad atakuotų tik konkrečių šalių vartotojus. Plisdamas per tikslinius šlamštlaiškius kenkėjas išvengia dėmesio, kurio sulaukia kiti garsūs išpirkos reikalaujantys kenkėjai. ESET saugumo tyrėjai, detaliai išanalizavę šį virusą 2014 m., nenuleido nuo jo akių.
„Panašu, kad „TorrentLocker“ kuriantys programišiai nesiruošia trauktis. Jie tobulino savo taktikas ir pamažu atnaujino šį išpirkos reikalaujantį virusą, tuo pačiu stengdamiesi išlikti nepastebėti“, – teigia ESET kenkėjiškų programų tyrėjas Marc-Etienne M. Léveillé.
Virusas „TorrentLocker“ plinta el. laiškais su tekste įterpta nuoroda, raginančia atsisiųsti dokumentą, neva sąskaitą ar siuntinio sekimo kodą. Atsisiuntus ir atidarius tariamą dokumentą, paleidžiamas „TorrentLocker“ diegimas. Kenkėjas užmezga ryšį su kontrolės ir valdymo serveriu, tada pradeda šifruoti aukos failus.
Įdomu tai, kad „TorrentLocker“ kūrėjai pasistengė ir kenkėjas naudoja lokalizuotus atsiuntimo, išpirkos reikalavimo ir mokėjimo puslapius. Aukoms suteikiama informacija jų kalba ir išpirkos prašoma konkrečios šalies nacionaline valiuta.
Programišių atlikti „TorrentLocker“ patobulinimai susiję su mechanizmais, saugančiais interneto vartotojus pasirinktose neplatinimo šalyse, t. y., kaip kenkėjas susisiekia su valdymo ir kontrolės serveriais, kurie apsaugoti papildomu šifravimu, taip pat su vartotojų failų šifravimo procesais. Vienas iš didesnių viruso patobulinimų – papildomas „skriptas“ kenkėjiško failo paleidimo grandinėje.
„Šlamštlaiškiuose įterpta nuoroda veda į PHP „skriptą“, esantį nulaužtame serveryje. Šis „skriptas“ tikrina, ar laišką gavęs vartotojas naršo internete iš atakuojamos šalies, jei taip – nukreipia į puslapį, iš kurio atsisiunčiama kenkėjiška programa. Jei vartotojas yra iš neatakuojamos šalies, jis nukreipiamas į „Google“ puslapį“, – aiškina ESET atstovas Marc-Etienne M. Léveillé.
Saugumo ekspertai, analizuojantys virusą „TorrentLocker“, nustatė, kad programišiai sukūrė lokalizuotus išpirkos reikalavimo ir mokėjimo puslapius 22 šalims. Tik septynios iš jų dar nesulaukė rimtos „TorrentLocker“ laiškų atakos: Prancūzija, Japonija, Martinikos sala, Portugalija, Korėjos respublika, Taivanas ir Tailandas.