TorrentLocker-ransomware

VIRUSDEFINITION

Virustype: Malware/ransomware

Hvad er TorrentLocker?

TorrentLocker (Trojan-Ransom.Win32.Rack i Kaspersky Labs klassificering) er en form for kryptografisk ransomware, som vinder stigende popularitet for tiden.

De første ændringer i denne familie blev observeret i februar 2014, og fra og med december 2014 er der konstateret mindst fem større frigivelser af denne malware.

Trojan-Ransom.Win32.Rack benytter en symmetrisk blokciffer-AES til at kryptere ofrets filer og en asymmetrisk ciffer-RSA til at kryptere AES-nøglen. Versionerne 1-3 indeholder en fejl, som gør det muligt at dekryptere ofrets filer, og det er implementeret i vores hjælpeprogram RannohDecryptor.

Startende fra 4. version har malwareophavsmændene desværre identificeret og afhjulpet denne fejl, som muliggør denne afkodningsmetode. De nuværende versioner af denne malware kræver løsesummer via Bitcoin-systemet og har deres betalingswebsteder liggende på Tor-netværket.

Modforholdsregler

Alle versioner af TorrentLocker detekteres af en lang række af Kaspersky Labs teknologier: Adfærdsbaserede (vurderinger PDM:Trojan.Win32.Generic, HEUR:Trojan.Win32.Generisk), signaturbaserede (vurderinger Trojan-Ransom.Win32.Rack.*) og cloud-baserede via KSN (vurderinger UDS:DangerousObject.Multi.Generic).

Den mest effektive detektering (adfærdsbaseret) leveres af vores proaktive komponent. Denne er ikke afhængig af indholdet i en eksekverbar fil, men vurderes ud fra den handling, som den udfører, hvilket gør os i stand til at opdage eventuelle forsøg på kryptering, uanset om den skadelige komponent er ny eller er set tidligere. Vores produkter omfatter ydermere et nyt undersystem til kryptomalware-modforanstaltninger, der automatisk tilbagefører skadelige ændringer i brugernes filer. Du finder flere oplysninger om dette system i vores hvidbog.

Forebyggelse

Sikkerhedskopier

Den bedste måde at garantere sikkerheden af kritiske data er at få etableret en fast plan for sikkerhedskopiering. Sikkerhedskopiering bør foretages regelmæssigt, og kopier skal i øvrigt oprettes på et lagringsmedie, der kun er tilgængeligt i denne proces (f.eks. på et flytbart lagringsmedie, som frakobles straks efter sikkerhedskopieringen). Hvis du ikke følger disse anbefalinger, kan det medføre, at de sikkerhedskopierede filer angribes og slettes eller krypteres af ransomwaren på samme måde som de originale filer.

Antimalwareløsning

Selv med en regelmæssig plan for sikkerhedskopiering efterlades de nyeste filer muligvis ubeskyttet og kan gå tabt i et ransomware-angreb. En antimalwareløsning med opdaterede databaser og aktiverede komponenter er ikke kun afgørende for at kunne garantere dataenes sikkerhed, men beskytter også systemet mod andre slags cybertrusler.

Bevidsthed om sikkerhed på internettet

Moderne malware udbredes ofte ved hjælp af social manipulation, så det er af afgørende betydning at være bevidst omkring de mest benyttede tricks, såsom falske e-mailmeddelelser fra forskellige kendte tjenester og organisationer. Disse falske e-mailmeddelelser indeholder almindeligvis malware, og de er ofte svære at skelne fra legitim kommunikation. Derfor bør brugere være opmærksomme på selv de mindste detaljer, hele tiden være på vagt og kun åbne vedhæftede filer fra betroede afsendere for at beskytte sig mod risikoen for inficering.