Tor Locker-program ransomware działający w Japonii

Pracownicy firmy Symantec w oficjalnym raporcie informują o pojawieniu się programu TorLocker, którego zlokalizowana wersja jest dystrybuowana w Japonii. Ten rodzaj oprogramowania wymaga od użytkowników pieniędzy, po przelewie, który zostanie podany klucz do odblokowania.

Atak znanego trojana odbywa się poprzez szyfrowanie plików z niektórymi typami rozszerzeń, co powoduje, że stają się one niedostępne dla użytkownika.

Techniki infekcji polegają na rozprzestrzenianiu się trojana za pomocą specjalnych blogów. Informacje na tych stronach internetowych mają inny kompromitujący charakter, co przyciąga uwagę. Specjaliści firmy Symantec nie wykluczają, że atakujący mogą również wykorzystywać exploity wykrywające luki na komputerach użytkowników.

Szeroko nagłośniony był przypadek, w którym przebrany za znane Japońskie Wydawnictwo blog przekierowywał użytkownika na stronę trzecią. Zasoby mogły znajdować się na kilku niezależnych domenach, z których każda korzystała z zestawu exploitów Rig. W rezultacie zidentyfikowanie źródła infekcji było problematyczne.

W innej sytuacji blog został przebrany za fałszywą stronę z Adobe Flash Player, gdzie użytkownik został poproszony o zainstalowanie świeżej aktualizacji. Ale w pliku wykonywalnym, który wymagał pobrania, brakowało oryginalnej ikony Adobe. Uważni użytkownicy ten fakt natychmiast alarmował. Nie było podpisu cyfrowego gwarantującego legalność i autentyczność oprogramowania.

Jeśli plik instalacyjny z fałszywym Adobe Flash został uruchomiony, nie nastąpiła żadna instalacja. Zamiast tego program wykonywał szyfrowanie w tle niektórych typów plików, a następnie wyświetlał wyskakujące okienko w języku japońskim. Wymagało to przekazania pewnej kwoty pieniędzy (od 500$ do 3600$) w celu odblokowania.