Το TorrentLocker ransomware, επίσης γνωστό και ως Crypt0L0cker ή CryptoLocker, εξακολουθεί να μολύνει τους χρήστες, δύο χρόνια αφότου εντοπίστηκε και αναλύθηκε από τους ερευνητές ασφαλείας για πρώτη φορά.
Λαμβάνοντας υπόψη ότι οι περισσότερες ransomware οικογένειες εξαφανίζονται μετά από μερικές εβδομάδες και πολύ λίγες συνεχίζουν για πάνω από ένα χρόνο, αυτό είναι αξιοσημείωτο, αλλά με άσχημο τρόπο, τουλάχιστον για εμάς, τους τακτικούς χρήστες.
Αυτό που είναι ακόμα πιο παράξενο είναι ότι το TorrentLocker το καταφέρνει με ελάχιστες αλλαγές στη συνταγή της επιτυχίας του, εάν πιστέψουμε μια τεχνική έκθεση που δημοσιεύθηκε την περασμένη εβδομάδα από την ESET, τον πωλητή ασφάλειας στον κυβερνοχώρο που έχει τη βάση του στη Σλοβακία.
Οι εμπειρογνώμονες της εταιρείας λένε ότι έχουν εντοπιστεί αρκετές αλλαγές στον τρόπο λειτουργίας του TorrentLocker, αλλά γενικά, είναι ακόμα το ίδιο εργαλείο που ήταν ενεργό και πριν από δύο χρόνια. Γιατί λοιπόν δεν έχει σταματήσει; Επειδή είναι ένα πολύ καλογραμμένο κομμάτι ransomware, με πολύ λίγα λάθη και επειδή χρησιμοποιεί και πολύ ισχυρή κρυπτογράφηση.
Όλα τα αρχεία που έχουν μολυνθεί με το TorrentLocker είναι κλειδωμένα με έναν AES-256-CBC αλγόριθμο πρώτα, και στη συνέχεια το κλειδί για να ξεκλειδώσει αυτή κρυπτογράφηση είναι και αυτό κλειδωμένο με ένα διπλό-κλειδί RSA αλγορίθμου, που κρατά ένα κλειδί στον υπολογιστή και το άλλο το στέλνει στον C&C εξυπηρετητή του απατεώνα.
Ο τρόπος που χρησιμοποιούνται οι C&C servers είναι μία από τις αλλαγές που διαπιστώθηκε στις TorrentLocker λειτουργίες, εξηγούν οι ESET ερευνητές. Ακόμη και αν η επικοινωνία με αυτούς τους διακομιστές είναι κρυπτογραφημένη, οι ερευνητές ασφαλείας συχνά τους εντοπίζουν και κανονίζουν να κατεβαίνουν από τον hosting πάροχο ή με τη βοήθεια των αρχών.
Για να αποφευχθούν τέτοιου είδους σενάρια και να αφήνουν τα μολυσμένα θύματα να είναι σε θέση να πληρώσουν τα λύτρα, έτσι ώστε οι απατεώνες να μπορούν να έχουν κέρδος από τις spam εκστρατείες τους, πρόσφατες εκδόσεις του TorrentLocker έρχονται με μια λίστα .onion URL διευθύνσεων, ιστοσελίδες προσβάσιμες μέσω του δικτύου Tor, μέσω των οποίων το ransomware επανέρχεται όταν οι κύριοι C&C servers του πέσουν.
Δεν είναι η μόνη malware οικογένεια που έχει ξεκινήσει την εφαρμογή Tor ως C&C backbone δίκτυο (δίκτυο κορμού). Το Ursnif trojan έχει κάνει το ίδιο.
Εκτός του Tor ως εφεδρικό C&C κανάλι επικοινωνίας, το TorrentLocker θα ελέγχει επίσης τη διεύθυνση IP του θύματος και θα εμφανίζει το αντίστοιχο σημείωμα για λύτρα στη γλώσσα του χρήστη.
Το ransomware θα δείχνει το προσαρμοσμένο σημείωμα για λύτρα για 22 χώρες, ακόμη και αν οι πρόσφατες εκστρατείες spam δεν τις έχουν όλες στο στόχαστρο, ακόμα.
Σύμφωνα με την ESET, η ομάδα πίσω από το TorrentLocker χρησιμοποιεί spam e-mail που είναι μεταμφιεσμένα σε ένα τιμολόγιο για μια τοπική εταιρεία κοινής ωφελείας και στοχεύει χρήστες σε χώρες όπως οι Αυστραλία, Αυστρία, Τσεχική Δημοκρατία, Δανία, Γερμανία, Ιταλία, Ολλανδία, Νορβηγία, Πολωνία, Ισπανία, Σουηδία, Ελβετία, Τουρκία και το Ηνωμένο Βασίλειο.
Η ESET λέει, επίσης, ότι το TorrentLocker είναι γραφτεί με τέτοιο τρόπο ώστε να αποφεύγει χώρες όπως η Κίνα, η Ρωσία, η Ουκρανία και περιέργως και οι ΗΠΑ, οι οποίες φαίνεται να είναι ο αγαπημένος στόχος σχεδόν όλων των ransomware παραλλαγών.
