TorrentLocker ransomware

DEFINIZIONE DEL VIRUS

Tipo di virus: Malware / Ransomware

Cos'è torrentlocker?

TorrentLocker (Trojan-Ransom.Win32.Rack nella classificazione di Kaspersky Lab) è un tipo di ransomware crittografico, che sta diventando sempre più popolare al giorno d'oggi.

Le prime modifiche di questa famiglia sono state osservate a febbraio 2014 e, a dicembre 2014, sono state scoperte almeno cinque versioni principali di questo malware.

Trojan-Ransom.Win32.Rack utilizza un codice a blocchi simmetrico AES per crittografare i file della vittima e un cifrario RSA asimmetrico per crittografare la chiave AES. Le versioni 1-3 contengono un errore che permette di decifrare i file della vittima, e questo è stato implementato nella nostra utility, RannohDecryptor.

Sfortunatamente, a partire dalla versione quattro, gli autori di malware hanno identificato e risolto questo errore, rendendo impossibile la decrittografia. Le versioni attuali di questo malware richiedono il riscatto di pagamenti attraverso il sistema Bitcoin e ospitano le sue pagine web di pagamento nella rete Tor.

Contromisure

Tutte le versioni di TorrentLocker vengono rilevate con successo da una vasta gamma di tecnologie Kaspersky Lab: behavioral (verdetti PDM: Trojan.Win32.Generic, HEUR: Trojan.Win32.Generic), basato su firma (verdetti Trojan-Ransom.Win32.Rack. * ) e su cloud tramite KSN (verdetto UDS: DangerousObject.Multi.Generic).

Il rilevamento più efficace (basato sul comportamento) è fornito dal nostro componente proattivo. Questo non si basa sul contenuto di un file eseguibile, ma basa il suo giudizio sull'azione che esegue, consentendoci di rilevare qualsiasi tentativo di crittografia, indipendentemente dal fatto che il campione dannoso sia nuovo oppure meno. Inoltre, i nostri prodotti incorporano un nuovo sottosistema di contromisure per i cryptomalware in grado di ripristinare automaticamente le modifiche dannose ai file degli utenti. Maggiori informazioni su questo sistema sono disponibili sul nostro whitepaper.

Prevenzione

Copie di backup

Il modo migliore per garantire la sicurezza dei dati critici è una pianificazione di backup coerente. Il backup deve essere eseguito regolarmente e, inoltre, è necessario creare delle copie su un dispositivo di archiviazione, accessibile solo durante questo processo (ad esempio, un dispositivo di archiviazione rimovibile che viene disconnesso immediatamente dopo il backup). La mancata osservanza di queste raccomandazioni comporterà l'attacco, l'eliminazione o la crittografia dei file di backup da parte del ransomware allo stesso modo delle versioni originali dei file.

Soluzione antimalware

Anche con una normale pianificazione di backup, i file più recenti potrebbero non essere protetti e potrebbero essere persi a seguito di un attacco ransomware. Una soluzione antimalware con basi aggiornate e componenti attivati non è solo essenziale per garantire la sicurezza dei dati, ma anche per proteggere il sistema da altri tipi di cyber minacce.

Internet safety awareness

Il malware moderno si diffonde attraverso il social engineering, quindi è importante conoscere i trucchi più comunemente utilizzati, come le false notifiche e-mail provenienti da vari servizi o organizzazioni ben note. Questi messaggi e-mail contraffatti contengono normalmente malware e sono spesso difficili da distinguere dalle comunicazioni legittime. Ecco perché gli utenti dovrebbero prestare attenzione ad ogni dettaglio, rimanere costantemente in allerta e aprire solo allegati che provengono da fonti attendibili.