História
TorrentLocker é uma infecção ransomware. Seu alvo principal costumava ser Austrália. No ano passado ele foi flagrado na Itália. Agora ataques no Reino Unido e Turquia ter cravado. Sabe-se que TorrentLocker usa e-mails de phishing. Os e-mails fingir ser de algum órgão do governo ou de utilidade, e tentar atrair os usuários para sites maliciosos.
O ataque
Se os usuários clicarem nos links apresentados nos e-mails, eles serão redirecionados para sites falsos de serviços públicos ou de instituições. Por exemplo, esta pode ser a British Gas para o Reino Unido ou Turkcell para a Turquia. Então, eles vão ser solicitado a digitar um captcha para ver a sua factura, ou fazer download de informações para o seu caso (Se a página web imita Home Office). Se os usuários cumprir, contudo, isso irá resultar em baixar a infecção TorrentLocker para seu sistema.
Os usuários vão realmente baixar arquivos zip que contêm arquivos da infecção. Os fechos podem ser nomeados turkcell_fatura_192189779.zip, case_14781.zip, informacje_przesylki.zip, etc. dependendo do site malicioso ter sido transferido para. Sob nenhuma circunstância você deve abrir ou até mesmo baixar esses arquivos. O que é mais, seria melhor se você identificar os e-mails falsos desde o início e apagá-los imediatamente.
Muito mais alvos
Embora seja parece que por agora alvo principal da infecção é o Reino Unido, isso não significa que ele é o seu único. TorrentLocker também foi avistado na Polônia, Espanha, Alemanha, e os Estados Unidos, juntamente com os outros países acima mencionados. Por agora, parece que os ataques na Austrália têm queda, mas eles não pararam para o bem. É por isso que os usuários não devem colocar a guarda.
Onde é que a ameaça Come From
Investigação de TorrentLocker mostra que sobre 800 domínios foram comprometidos para espalhar a infecção. Sua finalidade é hospedar as imagens nos e-mails, ou redirecionar os usuários para as páginas web falsas. Também foi descoberto que as páginas falsas si mesmos estão sendo hospedados em saques localizados principalmente na Federação Russa Turquia, bem como alguns na França.
Torrent Locker usa uma pequena gama de servidores de comando e controle. Aqui está uma lista completa deles:
- kergoned.net (178.32.72.224)
- driblokan.net (87.98.164.173)
- bareportex.org (185.42.15.152)
- projawor.net (87.98.164.173)
- golemerix.com (212.76.130.69)
- klixoprend.com (185.86.76.80)
- krusperon.net (91.226.93.33)
- imkosan.net (185.86.76.80)
- loawelis.org (178.32.72.224)
O servidor mais utilizado é klixoprend.com. Este servidor também é conhecido por ser usado por Timba malwares. Este malware é capaz de gerar nomes de domínios aleatórios para sites falsos. Então, se o nome de domínio é algo como hhjgrtttwiod.com, então você está definitivamente em uma página web maliciosa que está fingindo ser genuíno.
Infelizmente, os domínios de comando e controle foram registadas ao abrigo de serviços de privacidade de domínio. Isto significa que não há nenhuma maneira de descobrir quem está por trás disso a distribuição de TorrentLocker.
Medidas de precaução
É importante identificar a ameaça mais rapidamente possível. Se você pode ver que o e-mail com o link para as páginas web maliciosas é falso, e excluí-lo, então ótimo. Se você se encontra no site malicioso, contudo, ainda não é tarde demais. Se a página só pede um captcha, e, em seguida, oferece-lhe para baixar um arquivo, recusá-la e sair da página. A melhor coisa que você pode fazer é ter um sistema de segurança confiável em seu PC que irá protegê-lo de ataques, mesmo se você não é tão cuidadoso como você deve ser. Ele agiria como uma rede de segurança para a segurança do seu computador.