Éclairer le futur est notre métier

Taille du texte: +

ESET découvre une nouvelle version du crypto-ransomware TorrentLocker

dimanche 4 septembre 2016

TorrentLocker a reçu des améliorations le rendant plus difficile à traquer et à analyser. Il fournit également des mesures supplémentaires pour éviter d’attaquer les utilisateurs venant des pays sélectionnés. Analysé par ESET en 2014, le crypto-ransomware TorrentLocker ciblant des pays spécifiques est donc toujours actif et, grâce à la façon dont il choisit ses victimes potentielles via des spams ciblés, n’attire pas l’attention que l’on prête généralement aux crypto-ransomwares. Cependant, les chercheurs ESET ont continué de garder un œil sur ce malware.

« Le gang derrière TorrentLocker semble toujours être de la partie. Les cybercriminels ont amélioré leurs tactiques et ont apporté progressivement des innovations au ransomware tout en veillant à rester sous les radars », explique Marc-Etienne Léveillé, ESET Malware Researcher.

TorrentLocker se présente sous la forme d’un e-mail qui encourage à ouvrir le document joint (prétendant un projet de loi ou un code suivi). Si le document infecté est téléchargé et ouvert par l’utilisateur, TorrentLocker s’exécute. Il débute alors une communication avec le serveur C&C et chiffre les fichiers de la victime.

Une caractéristique bien connue de TorrentLocker réside dans la localisation du téléchargement, de la rançon et des pages de paiement. Les victimes reçoivent ensuite des informations dans leur propre langue et dans leur monnaie locale.

Les améliorations apportées récemment à TorrentLocker portent sur les mécanismes de protection des utilisateurs d’Internet dans les pays sélectionnés.

En contactant les serveurs C&C, TorrentLocker attaque la protection du serveur C&C via une couche supplémentaire de chiffrement tout en réduisant le rôle des mécanismes de chiffrement propres aux utilisateurs.

L’une des améliorations notables de cryptolocker est aussi l’ajout d’un script dans la chaîne menant au fichier « .exec » infecté.

« Le lien contenu dans le message de l'e-mail infecté dirige désormais vers un script PHP hébergé sur un serveur compromis. Ce script vérifie si le visiteur est situé dans le pays visé et, si oui, redirige vers la page où le malware sera téléchargé. Sinon, le visiteur est redirigé vers Google », explique Marc-Etienne Léveillé.

En analysant le malware et ses campagnes, les chercheurs ESET ont constaté que 22 pays ont reçu une version localisée de la page de rançon ou de paiement. Cependant, 7 d’entre eux n’ont pas été touchés jusqu’à présent par une campagne massive de spams TorrentLocker : La France, le Japon, le Portugal, la République de Corée, Taïwan et la Thaïlande.

Les détails concernant le crypto-malware TorrentLocker sont disponibles sur WeLiveSecurity.     

Netatmo : des vannes de radiateurs WiFi pour chauf...
Google contrôle le marché interne des chaînes Yout...
 

Commentaires

Pas encore de commentaire
Already Registered? Login Here
Guest
mardi 22 janvier 2019

Image Captcha

Copyright © 2019 SLA
167 Chemin des Combes 74110 Essert-Romand - tel : 04.50.83.06.79 - Mobile : 06.75.23.84.11

Mentions légales    -    Politique de confidentialité    -    Plan du site

IMPORTANT

copyright

 Notre blog est un blog de Curation, aussi les articles publiés proviennent-ils de différents flux RSS et nous ne prétendons, en aucune manière, nous en attribuer la paternité. Si vous souhaitez lire l'article original sur le site d'origine, il vous suffit de cliquer sur "Lien d'origine " qu se trouve à la fin de l'article.

Traduire

frendeitptrues

Rechercher

CES 2018

Un CES qui fait whoa !

Regard sur le CES 2018

Témoignages

Ils ont assisté à nos séminaires et ils donnent leurs avis.

Ce que les participants en pensent

Programme 2018 - 2019

Aller au haut