Geschiedenis
TorrentLocker is een ransomware infectie. Zijn primaire doel worden gebruikt om Australië te zijn. Eind vorig jaar werd gespot in Italië. Nu aanslagen in het Verenigd Koninkrijk en Turkije hebben vastgespijkerd. Het is bekend dat TorrentLocker gebruik maakt van phishing e-mails. De e-mails pretenderen te zijn van enkele overheidsinstelling of hulpprogramma, en proberen om gebruikers te lokken naar kwaadaardige websites.
De Aanval
Als gebruikers klikken op de in de e-mails koppelingen, zij zullen worden doorgestuurd naar valse websites van hulpprogramma's of instellingen. Bijvoorbeeld, dit kan British Gas voor het Verenigd Koninkrijk of Turkcell Turkije. Vervolgens, ze zullen worden gevraagd om een captcha in te voeren om hun factuur te bekijken, of te downloaden voor hun zaak (Als de webpagina bootst Thuiskantoor). Als gebruikers voldoen, echter, dit zal resulteren in het downloaden van de TorrentLocker besmetting van hun systeem.
De gebruikers ook daadwerkelijk zip-bestanden die bestanden van de infectie bevatten downloaden. De ritsen kunnen worden genoemd turkcell_fatura_192189779.zip, case_14781.zip, informacje_przesylki.zip, etc. afhankelijk van de kwaadaardige website u zijn overgedragen aan. In geen geval moet u openen of zelfs downloaden van deze bestanden. Wat is meer, het beste zou zijn als je de nep-e-mails van het begin identificeren en verwijderen ze meteen.
Much More Targets
Hoewel het lijkt erop dat voor nu de belangrijkste doelstelling van de infectie is het Verenigd Koninkrijk, maar dat betekent niet dat het de enige. TorrentLocker is ook waargenomen in Polen, Spanje, Duitsland, en de Verenigde Staten samen met de andere genoemde landen. Voor nu lijkt het erop dat de aanslagen in Australië hebben afname, maar ze hebben niet opgehouden voor een goede. Dit is de reden waarom gebruikers hun hoede niet naar beneden moet leggen.
Waar komt de dreiging vandaan
Onderzoek TorrentLocker blijkt dat ongeveer 800 domeinen werden gecompromitteerd om de infectie te verspreiden. Hun doel is om de afbeeldingen in de e-mails te organiseren, of aan gebruikers om te leiden naar de nep webpagina's. Er werd ook ontdekt dat de nep-pagina's zelf zijn op dient hoofdzakelijk gelegen in de Russische Federatie Turkije wordt gehost, evenals enkele in Frankrijk.
Torrent Locker maakt gebruik van een kleine reeks van command-and-control servers. Hier is een volledige lijst van hen:
- kergoned.net (178.32.72.224)
- driblokan.net (87.98.164.173)
- bareportex.org (185.42.15.152)
- projawor.net (87.98.164.173)
- golemerix.com (212.76.130.69)
- klixoprend.com (185.86.76.80)
- krusperon.net (91.226.93.33)
- imkosan.net (185.86.76.80)
- loawelis.org (178.32.72.224)
De server meest gebruikte is klixoprend.com. Deze server is ook bekend voor gebruik door Timba malware. Deze malware is in staat om willekeurige domeinnamen voor nep-websites te genereren. Dus als de domeinnaam ziet er ongeveer zo hhjgrtttwiod.com, dan bent u zeker op een kwaadaardige webpagina die doet alsof het echt is.
Helaas, de command-and-control-domeinen zijn geregistreerd onder een domein privacy services. Dit betekent dat er geen manier om erachter te komen wie er achter dit de verdeling van TorrentLocker.
Voorzorgsmaatregelen
Het is belangrijk om de dreiging zo snel mogelijk te identificeren. Als je kunt zien dat de e-mail met de link naar de kwaadaardige webpagina's is nep, en verwijder het, dan is dat geweldig. Als je merkt dat je op de kwaadaardige website, echter, Het is nog niet te laat. Als de pagina vraagt u alleen voor een captcha, en dan biedt u een bestand te downloaden, daling het en laat de pagina. Het beste wat je kunt eventueel doen is een betrouwbaar beveiligingssysteem op uw pc die u zal beschermen tegen aanvallers, zelfs als je niet zo voorzichtig als je zou moeten zijn. Het zou fungeren als een vangnet voor de beveiliging van uw computer.