Bendrovės ESET ekspertai iš Kanados išanalizavo gerai žinomą išpirkos reikalaujantį virusą „TorrentLocker“, kuris pradėjo plisti dar 2014 metų pradžioje. Tyrimo metu paaiškėjo, kad naujausia jo versija per kelis pastaruosius mėnesius užkrėtė mažiausiai 40 tūkstančių sistemų – daugiausia veikiančių Europoje.
„TorrentLocker“ virusų šeima užšifruoja vartotojo dokumentus, nuotraukas ar kitus duomenis, esančius įrenginyje, o už informacijos atrakinimą reikalauja išpirkos. Vienas iš pagrindinių viruso veikimo bruožų yra tai, kad išpirką visuomet reikalaujama sumokėti tik virtualiąja „Bitcoin“ valiuta. Išpirka gali siekti iki 4081 „Bitcoin“ vienetų – tai atitinka 1180 eurų arba 1500 dolerių.
„Skaičiuojama, kad pastaraisiais mėnesiais „TorrentLocker“ užkrėtė daugiau kaip 40 tūkstančių sistemų ir užšifravo apie 280 milijonų dokumentų. Viruso taikiniais daugiausiai tapo Europos šalys, tačiau aukų esama ir Kanadoje, Naujojoje Zelandijoje bei Australijoje“, – teigė Tomas Parnarauskas, ESET saugumo sprendimus pristatančios įmonės „NOD Baltic“ vadovas. – „Iš visų šių atvejų apie 570 išpirkų buvo sumokėtos, taigi kibernetiniai nusikaltėliai sąskaitas pasipildė 585 401 JAV doleriais „Bitcoin“ valiuta“.
Techninėje analizėje ESET ekspertai išsamiai pristato septynis „TorrentLocker“ plitimo būdus. Anot ekspertų turimų telemetrinių duomenų, pirmieji viruso veikimo pėdsakai aptikti dar 2014 vasarį. „TorrentLocker“ nuolat vystosi, o pažangiausios jo versijos veikia nuo 2014 rugpjūčio mėnesio.
ESET specialistas Marc-Etienne M. Léveillé teigia manantis, jog kibernetiniai sukčiai, veikiantys po „TorrentLocker“ priedanga, gali būti atsakingi ir už „Hesperbot“ virusų šeimą. Pastarieji atakuodavo bankų klientus ir apgaule bandydavo išvilioti prisijungimo duomenis.
„Vis dėlto atrodo, kad „TorrentLocker“ kūrėjai atkreipė dėmesį į virusų aptikimo technologiją ir pakeitė duomenų užšifravimo būdą,“ – aiškina M. M. Léveillé. – „Deja, vartotojams toks pakeitimas reiškia, jog jie nebegalės visiškai atkurti savo užšifruotų duomenų.“
Nustatyta, kad „TorrentLocker“ plinta elektroniniu paštu. Vartotojas gauna laišką-brukalą su prisegtu užkrėstu dokumentu. Laiško turinys sukurtas taip, kad asmuo būtinai atidarytų prisegtą failą – laiške teigiama, jog siunčiamos nesumokėtos sąskaitos, siuntų stebėjimo dokumentai arba greičio viršijimo baudos. Tokių laiškų patikimumas dar labiau sustiprinamas apsimetant vartotojo vietovėje veikiančių verslo ar valstybinių organizacijų atstovais. Jeigu vartotojas iš kitos šalies nei pristatyta organizacija, jis paprasčiausiai nukreipiamas į „Google“ paieškos puslapį.
M. M. Léveillé atkreipia dėmesį į tai, kad, tikrumo įspūdžiui sustiprinti, sukčiai pasitelkė netgi CAPTCHA paveikslėlius. Jie organizacijų tinklapiuose iš tiesų dažnai naudojami įsitikinti, kad puslapyje lankosi ne mašina, o gyvas žmogus, sakoma „NOD Baltic“ pranešime.
