Analysé par Eset en 2014, TorrentLocker, le crypto-ransomware ciblant des pays spécifiques, a reçu des améliorations le rendant plus difficile à traquer et à analyser.
TorrentLocker se présente sous la forme d’un e-mail qui encourage à ouvrir le document joint (prétendant un projet de loi ou un code suivi). Si le document infecté est téléchargé et ouvert par l’utilisateur, TorrentLocker s’exécute. Il débute alors une communication avec le serveur C&C et chiffre les fichiers de la victime.
Une caractéristique bien connue de TorrentLocker réside dans la localisation du téléchargement, de la rançon et des pages de paiement. Les victimes reçoivent ensuite des informations dans leur propre langue et dans leur monnaie locale.
Les améliorations apportées récemment à TorrentLocker portent sur les mécanismes de protection des utilisateurs d’Internet dans les pays sélectionnés. En contactant les serveurs C&C, TorrentLocker attaque la protection du serveur C&C via une couche supplémentaire de chiffrement tout en réduisant le rôle des mécanismes de chiffrement propres aux utilisateurs. L’une des améliorations notables de cryptolocker est aussi l’ajout d’un script dans la chaîne menant au fichier « .exec » infecté.
«Le lien contenu dans le message de l’e-mail infecté dirige désormais vers un script PHP hébergé sur un serveur compromis. Ce script vérifie si le visiteur est situé dans le pays visé et, si oui, redirige vers la page où le malware sera téléchargé. Sinon, le visiteur est redirigé vers Google», explique dans un communiqué Marc-Etienne Léveillé, Eset Malware Researcher.
En analysant le malware et ses campagnes, les chercheurs de l’éditeur ont constaté que 22 pays ont reçu une version localisée de la page de rançon ou de paiement. Cependant, 7 d’entre eux n’ont pas été touchés jusqu’à présent par une campagne massive de spams TorrentLocker : la France, le Japon, le Portugal, la République de Corée, Taïwan et la Thaïlande.
Les détails concernant le crypto-malware TorrentLocker sont disponibles sur WeLiveSecurity.