Na sequência desse trabalho investigativo, os pesquisadores Taneli Kaivola, Patrik Nisen e Antti Nuopponen, que trabalham para a consultoria de segurança da informação Nixu, analisaram uma variante do TorrentLocker e puderam ter mais informações para compartilhar. Dando todos os créditos aos pesquisadores da Trend Micro, pela importante descoberta de que o TorrentLocker "criptografou arquivos através da combinação de um keystream para arquivo com (XOR)", eles também revelaram que o malware contém código AES e algoritmos de hash SHA256 e SHA512.
Eles disseram também que os detalhes exatos sobre como a criptografia é feita, ainda permanecem desconhecidos; mas ao que tudo indica, a criptografia é feita com um stream cipher que foi construído usando funções AES e hash. O fato de que o keystream é composto por 16 bytes blocks, também suporta a hipótese de que a criptografia AES é usada para produzir o keystream.
TorrentLocker: o que é?
Torrentlocker é um programa malicioso, que inicialmente, só atacava ataca computadores na Austrália. Ele é muito semelhante ao CryptoWall e ao CryptoLocker ransomware, no entanto, possui um código diferente. Ele usa o algoritmo de Rijndael para criptografia de arquivo. O aplicativo malicioso se conecta a um servidor remoto e troca um certificado antes dele criptografar o malware.
Geralmente, TorrentLocker ele é classificado como uma ameaça muito prejudicial, programada pelos criminosos cibernéticos. A principal intenção por trás de seu desenvolvimento, é a disseminação da infecção entre o Windows, cuja execução é feita por grande parte dos computadores pelo mundo inteiro. Ele veio para o computador, juntamente com algum software livre, enquanto era realizado o download gratuito do mesmo. Além disso, TorrentLocker afeta o desempenho do seu navegador, bem como o desempenho do computador do usuário.
Este ransomware pode roubar seus dados pessoais, como ID de usuário, senha, detalhes da conta bancária, número de cartão de crédito e enviá-los para os cybercriminosos. Isso fará com que a receita para seus desenvolvedores seja alavancada, enganando os usuários. Para dar um freio nas atividades do ransomware, é necessário remover TorrentLocker Ransomware do seu computador o mais rápido possível.
Quanto mais tempo o TorrentLocker permanecer em um computador mais arquivos ele irá criptografar; é por isso que é extremamente importante não perder tempo em se tratando de varrer esta praga. Se o malware infectou seu computador, você deve eliminar o TorrentLocker assim que você puder.
Método de Funcionamento do TorrentLocker
O que acontece é que muitas vezes, TorrentLocker aparece como janelas pop-up ou notificação na tela do computador e é anunciado como um programa legítimo. Isso poderia ser anunciado como uma ferramenta de otimização, codec de vídeo ou uma atualização de software. Portanto, aqueles mais desatentos que clicarem no anúncio e baixarem o arquivo malicioso, acabarão com uma infecção muito nociva e perigosa. Além disso, o usuário também pode infectar seu sistema clicando em links maliciosos ou baixando anexos de e-mail mal-intemcionado. É por isso que é extremamente importante ter um utilitário anti-malware confiável, que pode ajudá-lo a evitar estes programas nefastos.
Método de Ação
Uma vez que Torrentlocker entra em seu computador, ele apresentará com uma mensagem que alega que seur arquivos teriam sido criptografados e você deve fazer um pagamento a fim de recuperar o acesso a eles. O usuário vai notar que não poderá abrir determinados arquivos ou programas. Em alguns casos, a pessoa pode ainda não ser capaz de acessar a Internet, o que é ainda mais preocupante. No entanto, mesmo que não sejam seguidas as etapas ainda apresentadas nas instruções, como não pagar os cybercriminosos, não é possível recuperar acesso ao seu computador e seus arquivos. O que a pessoa deve fazer ao invés disso, é tomar outras atitudes alternativas e que possam resolver o poblema. Se o usuário hesitar para excluir TorrentLocker, certamente ele vai perder ainda mais arquivos e poderá danificar, fortemente, o seu computado.
Como Remover TorrentLocker do Sistema?
Para esse procedimento, é necessário eliminar o TorrentLocker do computador. A única maneira de fazer isso é usar uma ferramenta de anti-malware confiável, que irá analisar o sistema da vítima, detectar todos os elementos do malware e remover TorrentLocker completamente. Infelizmente, a remoção manual de TorrentLocker não é possível neste caso. Investir em um removedor de malware poderoso é sempre uma boa idéia, especialmente porque que ele não só excluirá TorrentLocker, mas também a função como um programa de prevenção de malware no futuro. Dessa forma, será possível proteger o computador contra ações de malware, spyware, adware, worms, rootkits e de muitos outros elementos afins.
Vale lembrar que, semelhante ao Cryptowall, o aviso de resgate do TorrentLocker ransomware possui uma página de FAQ e uma página de doação. Esta última fornece ao usuário três endereços eCurrency, que podem ser usados para doar eitherBitcoins, Litecoin ou Dogecoin. As informações sobre a infecção situam-se no registro do Windows, que contém o código binário original, instalador de localização, autorun key, mensagem de resgate e algumas outras informações relacionadas a TorrentLocker.
TorrentLocker tem Prevalência no Reino Unido
Já faz quase um mês que a iSIGHT Partners descobriu a existência do ransomware, que criptografa os documentos das vítimas e que ficou conhecido por TorrentLocker. Esta ameaça propaga-se através de mensagens de spam e contém um link para uma página de phishing onde é solicitado ao utilizador que descarregue e execute uma pasta que contém as informações de uma determinada encomenda. Se em no mês de agosto esta ameaça se encontrava mais voltada para os usuários da Austrália, eis que a ESET descobriu que a mesma já está na Europa e em plena atividade no Reino Unido.
Neste país, esta ameaça surge disfarçada de uma página dos correios Royal Mail, sendo que a mesma é utilizada para a distribuição deste malware. O esquema de ação é bem habitual: essa praga introduz o captcha e posteriormente, é conduzida a descarregar um ficheiro que tem um payload executável. Vale ressaltar que a percepção sobre a tal página, logo no momento em que foram detectadas as investidas, está apenas disponível para os visitantes que se encontram na Inglaterra. A filtragem parece levar em conta o endereço de IP da potencial vítima. Se o pedido não vier de um IP no idioma inglês, então o visitante é redirecionado para a página www.google.com.
Instalação do Malware
Logo que esse malware se instala, os documentos da vítima são criptografados, e a partir daí, é feito um resgate de 350 libras, caso o pagamento seja feito nas primeiras 72 horas, ou de 700 libras se for feito depois disso. O pagamento é feito por Bitcoin (1.19 BTC ou 2.38 BTC). Para esconder a infraestrutura, o servidor está armazenado em um domínio .onion na rede Tor. Além disso, com a finalidade de facilitar o acesso das vítimas à página Web, o TorrentLocker fornece links aos nodes Tor2Web de forma a que não tenham de instalar software adicional para chegarem ao site .onion.
Lembrando que nome de domínio, door2tor.org, foi registado há apenas três semana e meia. Não há uma certeza, mas ao que parece, o seu propósito permite que as vítimas do TorrrentLocker contatem o servidor para que tenham acesso ao software que permite a decriptografia.
Problemas Causados pelo Ransomware "TorrentLocker"
TorrentLocker Ransomware pode causa uma grande quantidade de problemas para o seu computador e browser, que pode levar o computador em um estado muito crítico. Assim que o TorrentLocker Ransomware entra no computador de uma pessoa, várias atividades indesejáveis começam a ocorrer. Ele desativa o programa de segurança do computador para que ele não consiga identificar o TorrentLocker Ransomware durante o processo de scanning.
Além disso, ele vai fazer uma interrupção para atualização do Windows e dessa forma, o desempenho do computador vai ficando cada dia mais comprometido. Vale ressaltar que esse ransomware veio na forma de código executável para associar com todos os programas de computador. Importante lembrar a todos que o ransomware TorrenLocker é também considerado como um verdadeiro "hijacker" de navegador.
Saiba Mais:
[1] Net Security http://www.net-security.org/malware_news.php?id=2862