Utpressningsviruset TorrentLocker
VIRUSDEFINITION
Virustyp: skadlig programvara/utpressningsvirus
Vad är TorrentLocker?
TorrentLocker (Trojan-Ransom.Win32.Rack i Kaspersky Labs klassificering) är en typ av kryptografiskt utpressningsvirus, vilket ökar i popularitet numera.
De första modifieringarna av den här serien upptäcktes i februari 2014, och i december 2014 hade minst fem stora utgåvor av den skadliga programvaran upptäckts.
Trojan-Ransom.Win32.Rack använder ett symmetriskt AES-blockkrypto för att kryptera offrets filer och asymmetrisk RSA-kryptering för att kryptera AES-nyckeln. Versionerna 1–3 innehåller en säkerhetsbrist som gör det möjligt att dekryptera offrets filer, och detta har implementerats i vårt verktyg RannohDecryptor.
Från och med den fjärde versionen har skaparna av den skadliga programvaran tyvärr identifierat och åtgärdat denna säkerhetsbrist, vilket gör dekrypteringsmetoden omöjlig. Aktuella versioner av denna skadliga programvara kräver lösensummor genom Bitcoin-systemet och betalningswebbsidor i Tor-nätverket.
Motåtgärder
Alla versioner av TorrentLocker identifieras av en rad tekniker i Kaspersky Lab: beteendeanalytiska (bedömningar om PDM:Trojan.Win32.Generic, HEUR:Trojan.Win32.Generic), signaturbaserade (bedömningar om Trojan-Ransom.Win32.Rack.*) och molnbaserade via KSN (bedömningar om UDS:DangerousObject.Multi.Generic).
Den effektivaste upptäckten (bedömningsbaserad) tillhandahålls av vår proaktiva komponent. Den förlitar sig inte på innehållet i en körbar fil men gör sin bedömning utifrån den åtgärd som utförs, vilket ger oss möjlighet att upptäcka eventuella krypteringsförsök oavsett om det skadliga hotet är nytt eller känt sedan tidigare. Dessutom omfattar våra produkter ett nytt skydd mot skadlig krypteringsprogramvara som automatiskt kan återställa skadliga ändringar i användarnas filer. Mer information om systemet finns i vårt faktablad.
Förebyggande arbete
Säkerhetskopior
Det bästa sättet att garantera säkerheten för viktiga data är att ha ett enhetligt säkerhetskopieringsschema. Tänk på att säkerhetskopiera regelbundet och skapa kopiorna på en lagringsenhet som bara är tillgänglig under denna process (till exempel en flyttbar lagringsenhet som kopplas från direkt efter säkerhetskopieringen). Underlåtenhet att följa dessa rekommendationer leder till att de säkerhetskopierade filerna angrips och tas bort eller krypteras av utpressningsviruset på samma sätt som de ursprungliga filerna.
Skydd mot skadlig programvara
Även med ett regelbundet schema för säkerhetskopiering kan de senaste filerna lämnas oskyddade och försvinna på grund av attacker från utpressningsvirus. Skydd mot skadlig programvara med uppdaterade baser och aktiva komponenter är inte bara viktigt för att garantera datasäkerhet, utan skyddar även systemet mot andra typer av cyberhot.
Säkerhetsmedvetenhet på internet
Modern skadlig programvara sprids genom social manipulation. Därför är det mycket viktigt att känna till de vanligaste knepen, till exempel falska e-postmeddelanden från olika välkända tjänster och organisationer. Dessa falska e-postmeddelanden innehåller ofta skadlig programvara och är ofta svåra att urskilja från äkta utskick. Därför bör användarna vara uppmärksamma på minsta detalj, ständigt vara på sin vakt och endast öppna bilagor från pålitliga källor för att skydda sig mot smittorisken.
Utpressningsviruset TorrentLocker
Kaspersky
