Storia
TorrentLocker è un'infezione ransomware. Il suo obiettivo primario usato per essere in Australia. Alla fine dello scorso anno è stato avvistato in Italia. Ora gli attacchi nel Regno Unito e la Turchia hanno a spillo. E 'noto che TorrentLocker utilizza le email di phishing. Le email fingono di essere da qualche ente governativo o di utilità, e cercare di attirare gli utenti su siti Web dannosi.
L'attacco
Se gli utenti fanno clic sui link presenti nelle e-mail, essi saranno reindirizzati a siti fasulli di utilità o istituzioni. Per esempio, questo può essere British Gas per il Regno Unito o Turkcell per la Turchia. Poi, gli verrà chiesto di inserire un captcha per vedere il loro disegno di legge, o scaricare informazioni per il loro caso (Se la pagina web imita Home Office). Se gli utenti rispettino, tuttavia, questo si tradurrà in scaricando l'infezione TorrentLocker al loro sistema.
Gli utenti saranno effettivamente scaricare i file zip che contengono i file del infezione. Le cerniere possono essere denominati turkcell_fatura_192189779.zip, case_14781.zip, informacje_przesylki.zip, ecc. a seconda del sito web maligno v'è stato trasferito a. In nessun caso si dovrebbe aprire o anche scaricare questi file. Inoltre, sarebbe meglio se si identificano i messaggi di posta elettronica falsi fin dall'inizio e li elimina immediatamente.
Molto più obiettivi
Anche se è sembra che per ora obiettivo principale della infezione è il Regno Unito, ciò non significa che sia la sua sola. TorrentLocker è stato anche avvistato in Polonia, Spagna, Germania, e negli Stati Uniti insieme agli altri paesi di cui sopra. Per ora sembra che gli attacchi in Australia hanno diminuzione, ma non hanno smesso per sempre. Questo è il motivo per cui gli utenti non dovrebbero mettere la guardia.
Da dove viene la minaccia Come From
La ricerca di TorrentLocker mostra che circa 800 i domini sono stati compromessi a diffondere l'infezione. Il loro scopo è quello di ospitare le immagini nei messaggi di posta elettronica, o per reindirizzare gli utenti a pagine web falsi. E 'stato anche scoperto che le pagine finte stessi sono ospitati sulla serve ubicati principalmente nella Federazione Russa Turchia, così come alcuni in Francia.
Torrent Locker utilizza una piccola gamma di server di comando e controllo. Ecco un elenco completo di loro:
- kergoned.net (178.32.72.224)
- driblokan.net (87.98.164.173)
- bareportex.org (185.42.15.152)
- projawor.net (87.98.164.173)
- golemerix.com (212.76.130.69)
- klixoprend.com (185.86.76.80)
- krusperon.net (91.226.93.33)
- imkosan.net (185.86.76.80)
- loawelis.org (178.32.72.224)
Il server più utilizzato è klixoprend.com. Questo server è noto anche per essere utilizzato da Timba di malware. Questo malware è in grado di generare i nomi di dominio casuali per falsi siti web. Quindi, se il nome di dominio simile a hhjgrtttwiod.com, allora siete sicuramente su una pagina web dannoso che finge di essere genuino.
Sfortunatamente, i domini di comando e di controllo sono stati registrati sotto un dominio servizi per la privacy. Questo significa che non v'è alcun modo per scoprire chi c'è dietro questo la distribuzione di TorrentLocker.
Misure precauzionali
E 'importante identificare la minaccia più breve tempo possibile. Se si può vedere che l'e-mail con il link alle pagine web malevoli è falso, ed eliminarlo, poi grande. Se vi trovate sul sito web malevolo, tuttavia, non è ancora troppo tardi. Se la pagina che chiede solo per un captcha, e quindi consente di scaricare un file, rifiutare e lasciare la pagina. La cosa migliore che si possa fare è di avere un sistema di sicurezza affidabile sul vostro PC che vi proteggerà da attaccanti, anche se non si è attenti come si dovrebbe essere. Sarebbe fungere da rete di sicurezza per la protezione del computer.