Histoire
TorrentLocker est une infection ransomware. Son objectif principal était autrefois l'Australie. Fin de l'année dernière, il a été repéré en Italie. Maintenant, les attaques au Royaume-Uni et la Turquie ont dopés. On sait que TorrentLocker utilise des e-mails de phishing. Les e-mails font semblant d'être fournie par un organisme gouvernemental ou d'utilité, et essayer d'attirer les utilisateurs sur les sites Web malveillants.
L'attaque
Si les utilisateurs cliquent sur les liens présentés dans les e-mails, ils seront redirigés vers de faux sites Web des services publics ou institutions. Par exemple, cela peut être British Gas au Royaume-Uni ou Turkcell pour la Turquie. Puis, ils seront invités à entrer un captcha pour voir leur facture, ou télécharger des informations pour leur cas (si la page Web mimétiques Home Office). Si les utilisateurs se conforment, cependant, cela se traduira par le téléchargement de l'infection TorrentLocker à leur système.
Les utilisateurs réellement télécharger des fichiers zip contenant les fichiers de l'infection. Les fermetures éclair peuvent être nommés turkcell_fatura_192189779.zip, case_14781.zip, informacje_przesylki.zip, etc. selon le site Web malveillant que vous avez été transféré à. En aucun cas vous ne devez ouvrir ou même télécharger ces fichiers. De plus, il serait préférable si vous identifiez les faux courriels depuis le début et les supprimer tout de suite.
Beaucoup plus objectifs
Bien qu'il soit semble que pour l'instant la cible principale de l'infection est le Royaume-Uni, cela ne signifie pas qu'il est le seul. TorrentLocker a également été observé en Pologne, Espagne, Allemagne, et les États-Unis ainsi que les autres pays mentionnés ci-dessus. Pour l'instant, il semble que les attaques en Australie ont baisse, mais ils ne sont pas définitivement cessé. Ceci est la raison pour laquelle les utilisateurs ne doivent pas mettre leur garde vers le bas.
D'où vient la menace Come From
La recherche de TorrentLocker montre que sur les 800 domaines ont été compromis pour propager l'infection. Leur but est d'accueillir les images dans les e-mails, ou pour rediriger les utilisateurs vers les pages web de faux. On a également découvert que les fausses pages eux-mêmes sont hébergés sur situés principalement dans sert la Fédération de Russie Turquie, ainsi que certains en France.
Torrent Locker utilise un petit nombre de serveurs de commande et de contrôle. Voici une liste complète d'entre eux:
- kergoned.net (178.32.72.224)
- driblokan.net (87.98.164.173)
- bareportex.org (185.42.15.152)
- projawor.net (87.98.164.173)
- golemerix.com (212.76.130.69)
- klixoprend.com (185.86.76.80)
- krusperon.net (91.226.93.33)
- imkosan.net (185.86.76.80)
- loawelis.org (178.32.72.224)
Le serveur le plus souvent utilisé est klixoprend.com. Ce serveur est également connu pour être utilisé par les logiciels malveillants Timba. Ce malware est capable de générer des noms de domaine au hasard pour faux sites Web. Donc, si le nom de domaine ressemble hhjgrtttwiod.com, alors vous êtes certainement sur une page web malveillant qui prétend être authentique.
Malheureusement, les domaines de commandement et de contrôle ont été enregistrés dans un service de confidentialité de domaine. Cela signifie qu'il n'y a aucun moyen de savoir qui est derrière cela que la distribution de TorrentLocker.
Des mesures de précaution
Il est important d'identifier la menace le plus rapidement possible. Si vous pouvez voir que l'e-mail avec le lien vers les pages web malveillant est faux, et supprimez-le, puis une grande. Si vous vous trouvez sur le site Web malveillant, cependant, il est pas encore trop tard. Si la page ne vous demande un captcha, et vous propose de télécharger un fichier, refuser et quitter la page. La meilleure chose que vous pouvez éventuellement faire est d'avoir un système de sécurité fiable sur votre PC qui vous protège contre les pirates, même si vous n'êtes pas aussi prudent que vous devriez être. Il agirait comme un filet de sécurité pour la sécurité de votre ordinateur.