ESET warnt: TorrentLocker weiterhin aktiv

Harald Gutzelnig
8 years ago
Categories: Branchen-News
Tags: ESET, Ransomware, Torrentlocker, Virus

Im Jahr 2014 wurde TorrentLocker auch unter dem Namen „CryptoLocker“ bekannt. Achtung! Er ist unter dem Namen „Crypt0l0cker“ weiterhin aktiv.

Die derzeitige Verbreitung kann man vergleichen mit den Techniken aus dem Jahr 2014. Es werden E-Mails (meist von Telekommunikationsunternehmen oder Versorgern) mit einem Link zu einer Seite versendet, die dazu auffordern, ein „Dokument“ (meist eine Rechnung) herunterzuladen. Wird dieser Aufforderung Folge geleistet, und der Anhang geöffnet, wird der TorrentLocker ausgeführt. Er beginnt sofort Dateien des Systems zu verschlüsseln.

Ransomware ist nach wie vor eine Bedrohung (Foto: Shutterstock[DD-Images])

Einige Beispiele der nachahmenden Mails sind:

A1 Telekom (Österreich)
Österreichische Post (Österreich)
Verbund (Österreich)
Enel (Italien)
Vodafone Italia (Italien)
PostNL (Niederlande)
British Gas (UK)
Endesa (Spanien)
PostNord (Schweden)
Turkcell (Türkei)

Bild1: Downloadseite der österreichischen Kampagne ahmt A1 Telekom nach.

Im TorrentLocker aus dem Jahr 2016 wurden verschiedene Weiterleitungen in die Kette bis zur finalen ausführbaren Schaddatei integriert. Der Link in der Spam-Mail führt nun zu einem PHP-Skript, das auf einem kompromittierten Server gehostet wird. Dieses Skript überprüft, ob der User von einem anvisierten Land aus browst. Wenn dem so ist, wird der User zur nächsten Seite weitergeleitet, bei der die nächste Stufe der Malware heruntergeladen wird. Andernfalls landet man bei Google. Die heruntergeladene ZIP-Datei beinhaltet eine verschleierte JScript-Datei. Diese lädt die TorrentLocker-PE-Datei und führt sie aus. Ist die ZIP-Datei erst einmal entpackt, benutzt der TorrentLocker-Kern weitere Verschleierungstaktiken, um eine Analyse zu erschweren.

Ortsbestimmt

Ein bekanntes Feature vom TorrentLocker ist die gute Lokalisierung der Download-, Ransomware- und Bezahl-Seiten. Opfer erhalten Informationen in der Sprachen, die am Aufenthaltsort gängig ist. Eine Analyse sollte klarstellen, wie viele Länder davon betroffen waren und in wie vielen Sprachen die Ransomware agierte.

Die Basis-Seite ist in Englisch mit der Währung USD. Darauf aufbauend hat ESET 22 Länder ausfindig gemacht, die eine lokalisierte Ransomware- und Bezahlaufforderungsseite bekamen, darunter Österreich, Belgien, Tschechische Republik, Dänemark, Deutschland, Frankreich, Großbritannien, Italien, Niederlande, Norwegen, Polen, Portugal, Spanien, Schweden, Schweiz und die Türkei.

Schutz gegen Ransomware

TorrentLocker verbreitet sich offenbar weiterhin ohne dabei viel Aufmerksamkeit zu erregen. Wie man sich gegen Ransomware schützen kann, verrät Lysa Myer in ihrem Artikel.

Quelle: ESET