TorrentLocker er en ny Ransomware Down Under. Og det er ondt.
Cryptolocker kan være død og begravet CryptoLocker er død: Slik kan du få dine filer tilbake! CryptoLocker er død: Her kan du få dine filer tilbake! Les mer, men det er et nytt stykke skadelig programvare som ønsker å ta Ransomware-kronen. Det kalles TorrentLocker, og det er positivt ondt.
TorrentLocker sies å låne funksjoner fra både den beryktede CryptoLocker ransomware, samt CryptoWall. Til tross for å være en avledet av disse malware-programmene, har sikkerhetsforskerne som oppdaget og analysert det - iSIGHT Partners - referert til det som en helt ny belastning.
iSIGHT Partners er et respektert sikkerhetsforskningsfirma med base i Dallas, Texas med kontorer og ansatte i 16 land over hele verden.
Forbrukerne som blir rammet av TorrentLocker, vil finne sine filer kryptert med sterk, nesten ubrytelig kryptering, og vil bare kunne få sine filer tilbake ved å betale et løsesum som er oppført i australske dollar.
Nysgjerrig på hva som gjør TorrentLocker så spesielt ondskap? Les videre for mer.
En kjent trussel
Det som er spesielt fascinerende om TorrentLocker, er hvordan det låner navn og en estetikk fra CryptoLocker og CryptoWall, til tross for å være et helt annet dyr. Når det er infisert, vil malware identifisere seg som 'CryptoLocker' (som jeg en gang har beskrevet som den nestiest malware ever 'CryptoLocker er den nestiest malware Ever & Her er hva du kan gjøre CryptoLocker er den nestiest malware Ever & Her er hva du kan gjøre CryptoLocker er en type ondsinnet programvare som gjør datamaskinen helt ubrukelig ved å kryptere alle filene dine. Det krever deretter monetær betaling før tilgang til datamaskinen din blir returnert. Les mer), og vil inneholde en kort Q & A som tilsynelatende har blitt cribbed i sin helhet fra CryptoWall.
Etymologien til TorrentLocker kommer fra en modifisering til Windows-registret Hva er Windows Registry Editor og hvordan bruker jeg det? [MakeUseOf Forklarer] Hva er Windows Registry Editor og hvordan bruker jeg det? [MakeUseOf Forklarer] Windows-registret kan være skummelt ved første øyekast. Det er et sted hvor strømbrukere kan endre et bredt utvalg av innstillinger som ikke blir utsatt andre steder. Hvis du søker etter hvordan du endrer noe i ... Les mer under 'HKCU \ Software \ Bit Torrent Application'. Det er ingen reelle bevis på at TorrentLocker infiserer via fildelingsprotokoller og -nettverk. De fleste installasjoner av viruset kommer tilsynelatende fra folk som åpner vedlegg fra spam-e-postmeldinger.
I likhet med CryptoLocker, krever TorrentWall et løsepris Ikke fall Foul of the Scammers: En veiledning til Ransomware og andre trusler Ikke fall Foul of the Scammers: En guide til Ransomware og andre trusler Les mer. For brukere å få sine filer tilbake, må brukerne forkjøre ut $ 500AUD ($ 464 USD, på tidspunktet for skriving). Og, som CryptoLocker, må brukerne betale løsesummen i Bitcoin. TorrentLocker foreslår en rekke Bitcoin-utvekslinger BitCoin - Kjøp, Selg og handel med Anonym Peer-To-Peer-valuta BitCoin - Kjøp, Selg og handel med Anonym Peer-To-Peer-valuta Tidligere denne måneden skrev to fremtredende amerikanske politikere til US Attorney General Eric Holder til å uttrykke bekymringer om oppveksten av en ny online valuta - BitCoin. Den anonyme, peer-to-peer-valutaen har blitt veldig populær ... Les mer basert i Australia. Dette, kombinert med løsningen på løsningen, antyder at denne typen malware er rettet mot australske Internett-brukere.
Malware rettet mot et bestemt land er ikke spesielt nytt. Stuxnet var rettet mot SCADA-systemer i Iran, mens andre ransomware-programmer har brukt navnene og logoer fra British Serious Organized Crime Agency (SOCA), samt Federal Bureau of Investigations.
Hva er nytt Selv, og hvordan fungerer det?
TorrentLocker ser ut som Cryptolocker. Det 'quacks' som Cryptolocker. Men det er ikke CryptoLocker. Faktisk er det vesentlig forskjellig på kodenivå, og bør betraktes som en helt unik stamme av skadelig programvare, i stedet for en rebranding av Cryptolocker.
Når TorrentLocker kjørbar har blitt kjørt, gjør den en endring til explorer.exe. Dette inneholder det meste av funksjonaliteten til TorrentLocker, inkludert koden som brukes til å kommunisere med kommando- og kontrollserveren, samt kryptere filene på systemet.
Malware dupliserer seg i mappen '% WINDOWS% /% WOW64%'. Denne kopien heter tilfeldig, muligens å gjøre ting vanskelig for eventuelle antivirusprogrammer som kjører på systemet på det tidspunktet. Den utfører også flere installasjoner av seg selv samtidig, potensielt for å forvirre sin oppførsel.
En annen kopi av skadelig programvare er også plassert i Windows-registret, i tillegg til at en autorun-nøkkel blir opprettet. Som du kanskje forventer, får dette skadelig programvare til å starte ved oppstart.
For malware for å starte kryptering av filer, må den først kunne kommunisere med kommandoen og kontrollen (C & C) -serveren. Det forsøker å koble til en IP-adresse hardkodet i skadelig programvare, som den deretter autentiserer mot. Hvis godkjenningen er vellykket, begynner skadelig programvare å kryptere filer. Når den har fullført oppgaven, vil den da informere brukeren.
Brukere kan bekrefte at dekryptering er mulig ved å gjenopprette en enkelt fil av deres valg gratis. I motsetning til CryptoLocker, må ofre ikke betale innenfor en angitt tidsperiode, slik at dekrypteringsnøklene ikke slettes. Imidlertid fordobles kostnaden for dekryptering til $ 1000 AUD etter at en tidsperiode har gått.
Interessant, ransomware beskriver egentlig ikke å betale løsepenge på slike vilkår. Snarere, ofre 'kjøper' programvaren som er nødvendig for å dekryptere sine filer. Ransom-sidene er skrevet i rå, brutt engelsk, noe som tyder på at personen (eller personer) bak TorrentWall ikke er engelskspråklige høyttalere.
Ransom-siden inneholder også et skjema for å kontakte angriperen, i tillegg til notering Bitcoin, Dogecoin Dogecoin: Hvordan en Meme ble den tredje største digitale mynten Dogecoin: Hvordan en Meme ble det tredje største digitale mynet Les mer og Litecoin savnet ute på Bitcoin Gullrush? Få inn på Litecoin Silver Rush i stedet savnet ut på Bitcoin Gold Rush? Kom deg inn på Litecoin Silver Rush i stedet Hvis du savnet Bitcoin-gruvedypen og fortsatt vil komme inn på pick-axing en virtuell valuta, har du lykke! I 2011 etablerte Litecoin seg som en stor aktør i verden av elektroniske ... Les mer adresser hvor takknemlige ofre kan gjøre en donasjon. Dette er frivillig, selv om hvorfor en ville gi en gave til noen som utpresset en betydelig mengde penger fra deg, er litt utenfor min forståelse.
Hva kan jeg gjøre hvis det er infisert?
Dette er litt vanskelig. Akkurat nå er det ikke noe annet alternativ å få filene dine tilbake, annet enn å betale løsesummen. Men som vi så med CryptoLocker CryptoLocker, er død: Her kan du få dine filer tilbake! CryptoLocker er død: Her kan du få dine filer tilbake! Les Mer, det er mulig for folk å få tilbake sine filer når Command and Control-serverne blir tatt over, og listen over dekrypteringsnøkler gjenopprettes..
I mellomtiden må du sikre at du har en sikkerhetskopi av filene dine som ikke er vedvarende koblet til datamaskinen via USB eller nettverksdeling. Videre investere i noe solid antivirusprogram (ikke Microsoft Security Essentials, hvorfor du bør erstatte Microsoft Security Essentials med et rikt antivirusprogram, hvorfor du bør erstatte Microsoft Security Essentials med et riktig Antivirus Read More) og unngå å åpne vedlegg fra uønskede eller mistenkelige e-poster.
Hvis du blir smittet, anbefales det å kjøpe en billig ekstern harddisk (eller en tilstrekkelig kapasitet USB-flash-stasjon) og kopiere over dine krypterte filer. Dette gir deg muligheten til å gjenopprette filene dine senere, og uten å betale et løsepris. Du vil da bli oppfordret til å installere Windows på nytt (eller kanskje gi Linux - et mye sikrere operativsystem Linux Operativsystemer for Paranoid: Hva er de sikreste alternativene? Linux Operativsystemer for Paranoid: Hva er de sikreste alternativene? til Linux gir mange fordeler for brukere. Fra et mer stabilt system til et stort utvalg av open source-programvare, er du på en vinner. Og det vil ikke koste deg en krone! Les mer - prøv), for å fjerne malware for godt.
Det er fristende å betale løsepenge, selv om du bør huske på at du bare ville gjøre disse typer ransomware økonomisk verdifullt for angriperen.
Har du blitt truffet?
Mistet alle filene dine? Har blitt tvunget til å betale et løsepenger? Kjenner alle som har? Jeg vil gjerne høre historien din. Kommentarboksen er under.
Utforsk mer om: Anti-Malware.