TorrentLocker är en ny Ransomware Down Under. Och det är ont.
Cryptolocker kan vara död och begravd CryptoLocker är död: Så här kan du få dina filer tillbaka! CryptoLocker är död: Så här kan du få dina filer tillbaka! Läs mer, men det finns en ny del av skadlig kod som vill ta Ransomware-kronan. Det heter TorrentLocker, och det är positivt ont.
TorrentLocker sägs låna funktioner från både den ökända CryptoLocker ransomware, liksom CryptoWall. Trots att det är ett derivat av dessa malwareprogram, hänvisar de säkerhetsforskare som upptäckte och analyserade det - iSIGHT Partners - det som en helt ny stam.
iSIGHT Partners är ett välrenommerat säkerhetsforskningsföretag baserat i Dallas, Texas med kontor och anställda i 16 länder över hela världen.
Konsumenter som drabbats av TorrentLocker kommer att hitta sina filer krypterade med stark, nästan okrypterbar kryptering och kommer bara att kunna få sina filer tillbaka genom att betala ett lösenbelopp som anges i australiska dollar.
Är du nyfiken på vad som gör TorrentLocker så speciellt ont? Läs vidare för mer.
En känd trussel
Vad som är särskilt fascinerande om TorrentLocker är hur det lånar namnet och en estetik från CryptoLocker och CryptoWall, trots att det är ett helt annat djur. När den smittats kommer malware att identifiera sig som "CryptoLocker" (som jag en gång beskrivit som den nästaste skadliga programvaran någonsin "CryptoLocker är den näststa skadliga programvaran någonsin & här är vad du kan göra CryptoLocker är den näststa skadliga programvaran någonsin och här är vad du kan göra CryptoLocker är en typ av skadlig programvara som gör din dator helt oanvändbar genom att kryptera alla dina filer. Det kräver då monetär betalning innan åtkomst till din dator returneras. Läs mer) och kommer att innehålla en kort Q & A som uppenbarligen har cribbed i sin helhet från CryptoWall.
Etylologin för TorrentLocker kommer från en modifiering till Windows-registret Vad är Windows-registerredigeraren och hur använder jag den? [MakeUseOf Explains] Vad är Windows Registry Editor och hur använder jag det? [MakeUseOf Förklarar] Windows-registret kan vara läskigt vid första anblicken. Det är en plats där kraftanvändare kan ändra en mängd olika inställningar som inte exponeras någon annanstans. Om du söker efter hur du ändrar något i ... Läs mer under 'HKCU \ Software \ Bit Torrent Application \'. Det finns inga riktiga bevis för att TorrentLocker infekterar via fildelningsprotokoll och nätverk. De flesta installationer av viruset uppenbarligen kommer från personer som öppnar bilagor från spam-e-postmeddelanden.
Såsom CryptoLocker, kräver TorrentWall ett lösenmedel. Får inte falla av svindlarna. En guide till Ransomware och andra hot faller inte i skammen: En guide till Ransomware och andra hot Läs mer. För att användarna ska få tillbaka sina filer måste användarna gaffla ut $ 500AUD ($ 464 USD vid skrivetid). Och, precis som CryptoLocker, måste användarna betala lösenbeloppet i Bitcoin. TorrentLocker föreslår ett antal Bitcoin-utbyten BitCoin - Köp, Sälj och handel med hjälp av anonym Peer-To-Peer-valuta BitCoin - Köp, Sälj och handel med hjälp av anonym Peer-To-Peer-valuta Tidigare denna månad skrev två framstående amerikanska politiker till US Attorney General Eric Innehavare att uttrycka oro över uppkomsten av en ny online-valuta - BitCoin. Den anonyma, peer-to-peer-valutan har blivit mycket populär ... Läs mer baserat i Australien. Detta, kombinerat med lösenvalets utvalda valuta, föreslår att denna del av skadlig programvara riktar sig till australiska Internet-användare.
Malware riktad mot ett visst land är inte särskilt nytt. Stuxnet riktade sig till SCADA-system i Iran, medan andra ransomware-program har använt namnen och logotyperna från British Serious Organized Crime Agency (SOCA), liksom Federal Bureau of Investigations.
Vad är nytt Men, och hur fungerar det?
TorrentLocker ser ut som Cryptolocker. Det "quacks" som Cryptolocker. Men det är inte CryptoLocker. Det är faktiskt väldigt annorlunda på kodnivå och bör betraktas som en helt unik stamma av skadlig kod, snarare än en rebranding av Cryptolocker.
När den körbara körningen TorrentLocker har körts, gör den en modifiering av explorer.exe. Detta innehåller de flesta funktionerna i TorrentLocker, inklusive koden som används för att kommunicera med kommandot och kontrollservern, samt kryptera filerna på systemet.
Malware duplicates sig i mappen "% WINDOWS% /% WOW64%". Denna kopia är slumpmässigt namngiven, möjligen för att göra det svårt för alla antivirusprogram som körs på systemet vid den tiden. Det utför även flera installationer av sig själv samtidigt som det kan förvirra sitt beteende.
En annan kopia av skadlig programvara finns också i Windows-registret, förutom att en autorunnyckel skapas. Som du kanske förväntar sig orsakar det att malware startas vid start.
För att skadlig programvara ska börja kryptera filer måste den först kunna kommunicera med kommandot och kontrollen (C & C) -servern. Det försöker ansluta till en IP-adress som är hårdkodad i skadlig programvara, som den sedan autentiserar mot. Om autentiseringen är framgångsrik börjar malwareprogrammet att kryptera filer. När den har slutfört sin uppgift kommer den då att informera användaren.
Användare kan verifiera att dekryptering är möjlig genom att återställa en enda fil av deras val gratis. Till skillnad från CryptoLocker behöver offren inte betala inom en viss tidsperiod, så att dekrypteringsnycklarna raderas. Kostnaden för dekryptering dubblerar dock till $ 1000 AUD efter en tidsperiod har gått.
Intressant beskriver inte ransomware faktiskt att man betalar lösenordningen i sådana termer. Snarare, offren "köper" programvaran som är nödvändig för att dekryptera sina filer. Ransomsidorna är skrivna i råa, brutna engelska, vilket tyder på att personen (eller personerna) bakom TorrentWall inte är inbyggda engelska.
Ransom-sidan innehåller också en blankett för att kontakta angriparen, förutom att notera Bitcoin, Dogecoin Dogecoin: Hur en Meme blev den 3: e största digitala myntet Dogecoin: Hur en Meme blev det 3: e största digitala myntet Läs mer och Litecoin saknas på Bitcoin Guldrush? Komma in på Litecoin Silver Rush istället missade ut på Bitcoin Gold Rush? Komma in på Litecoin Silver Rush istället Om du saknade Bitcoin-gruvan och han vill fortsätta med att plocka upp en virtuell valuta, har du lycka till! Under 2011 etablerade Litecoin sig som en viktig aktör inom elektronikvärlden ... Läs mer adresser där tacksamma offer kan göra en donation. Detta är frivilligt, men varför man skulle ge en gåva till någon som utpressade en betydande summa pengar från dig är något bortom min förståelse.
Vad kan jag göra om det är infekterat?
Det här är lite knepigt. Just nu finns det inget annat alternativ att få dina filer tillbaka, förutom att betala lösenummet. Men som vi såg med CryptoLocker CryptoLocker Is Dead: Så här kan du få dina filer tillbaka! CryptoLocker är död: Så här kan du få dina filer tillbaka! Läs mer, det är möjligt för människor att få tillbaka sina filer när kommando- och kontrollservrarna tas över och listan över dekrypteringsnycklar återställs.
Interimera, se till att du har en säkerhetskopia av dina filer som inte är permanent kopplad till din dator via USB eller nätverksdelning. Dessutom investerar du i ett visst antivirusprogram (inte Microsoft Security Essentials varför du bör ersätta Microsoft Security Essentials med ett korrekt antivirus varför du bör ersätta Microsoft Security Essentials med ett korrekt antivirusläsare) och undvika att öppna bifogade filer från oönskade eller misstänkta e-postmeddelanden.
Om du blir smittad rekommenderas att du köper en billig extern hårddisk (eller en tillräckligt stor USB-minne) och kopiera över dina krypterade filer. Detta ger dig möjligheten att så småningom återhämta dina filer vid ett senare tillfälle och utan att betala lösenum. Du skulle då uppmuntras att installera om Windows (eller kanske ge Linux - ett mycket säkrare operativsystem Linux Operativsystem för Paranoid: Vad är de mest säkra alternativen? Linux Operativsystem för Paranoid: Vilka är de säkraste alternativen? till Linux ger många fördelar för användarna. Från ett mer stabilt system till ett stort urval av öppen källkodsprogram, är du på en vinnare. Och det kommer inte att kosta dig ett öre! Läs mer - försök), för att ta bort skadlig kod för alltid.
Det är frestande att betala lösenordningen, men du bör komma ihåg att du då bara skulle göra dessa typer av ransomware ekonomiskt värda till angriparen.
Har du blivit hit?
Förlorade alla dina filer? Var tvungen att betala ett lösenbelopp? Vet någon som har? Jag skulle gärna höra din historia. Kommentarfältet är nedan.
Utforska mer om: Anti-Malware.