Ransomware TorrentLocker

DEFINIÇÃO DO VÍRUS

Tipo de vírus: Malware/Ransomware

O que é TorrentLocker?

TorrentLocker TorrentLocker (Trojan-Ransom.Win32.Rack, na classificação da Kaspersky Lab) é um tipo de ransomware criptográfico, que vem ganhando popularidade a cada dia.

As primeiras modificações dessa família foram observadas em fevereiro de 2014 e, a partir de dezembro de 2014, foram descobertas pelo menos cinco versões importantes desse malware.

O Trojan-Ransom.Win32.Rack usa um AES de cifra de bloco simétrico para criptografar arquivos e um RSA de cifra simétrico para criptografar a chave AES. As versões 1-3 contêm uma falha que torna possível descriptografar os arquivos da vítima, o que foi implementado em nosso utilitário RannohDecryptor .

Infelizmente, a partir da quarta versão, os criadores do malware identificaram e corrigiram essa falha, tornando a descriptografia por esse método impossível. As versões atuais desse malware exigem pagamentos de resgates por meio do sistema de bitcoins e hospedam suas páginas da Web de pagamentos na rede do Tor.

Contramedidas

Todas as versões do TorrentLocker são detectadas corretamente por diversas tecnologias da Kaspersky Lab: comportamental (vereditos PDM:Trojan.Win32.Generic, HEUR:Trojan.Win32.Generic), com base em assinatura (vereditos Trojan-Ransom.Win32.Rack.*) e com base na nuvem pela KSN (veredito UDS:DangerousObject.Multi.Generic). A detecção mais eficiente (com base em comportamento) é fornecida pelo nosso componente proativo. Ele não depende do conteúdo de um arquivo executável, mas toma sua decisão com base na ação realizada, o que permite detectar todas as tentativas de criptografia, independentemente de a amostra maliciosa ser nova ou ter sido observada antes. Além disso, nossos produtos incorporam um novo subsistema de contramedidas de cryptomalware capaz de reverter automaticamente as alterações maliciosas nos arquivos dos usuários. Outras informações sobre esse sistema estão disponíveis neste whitepaper.

Prevenção

Cópias de backup

A melhor forma de garantir a segurança de dados críticos é com uma programação de backup consistente. O backup deve ser feito com regularidade e, além disso, as cópias devem ser salvas em um dispositivo de armazenamento que seja acessado somente durante esse processo (por exemplo, um dispositivo de armazenamento removível que é desconectado logo depois do backup). Se você não seguir essas recomendações, os arquivos copiados poderão ser invadidos e excluídos, ou criptografados pelo ransomware, da mesma forma que os arquivos originais.

Solução antimalware

Mesmo com uma programação de backup regular, os arquivos mais recentes podem ficar desprotegidos e acabar sendo perdidos para um ataque de ransomware. Uma solução antimalware com bases atualizadas e componentes ativados não é essencial só para garantir a segurança de dados, mas também para proteger o sistema contra outros tipos de ameaças virtuais.

Conscientização sobre segurança na Internet

Muitas vezes, os malwares modernos são propagados por meio de engenharia social. Por isso, é importante conhecer as artimanhas mais usadas, como e-mails com notificações falsas de serviços ou organizações conhecidos. Essas mensagens de e-mail falsificadas costumam conter malware, sendo difícil diferenciá-las das comunicações legítimas. Por isso, os usuários devem prestar atenção a cada detalhe, ficar sempre alertas e só abrir anexos de fontes confiáveis para se proteger do risco de infecções.