Especialistas da Trend Micro observaram uma nova variante de ransomware, o TorrentLocker, atingiu cerca de 4 mil organizações e empresas italianas. O TorrentLocker é semelhante a uma família de ransomware anterior, o CryptoLocker, e também criptografa vários arquivos, obrigando os usuários a pagarem uma quantia em dinheiro como resgate dos arquivos. O TorrentLocker usa a TOR, rede que permite o anonimato, para esconder seu tráfego.
A ameaça utilizou um e-mail de spam escrito em italiano e com diversos modelos como parte de suas táticas de engenharia social. Traduzidas, as mensagens diziam:
Sua pergunta foi feita no fórum em {dia}/{mês}/{ano} {horário}. Para a resposta detalhada por favor consulte o seguinte endereço: {link malicioso}
Ele enviou uma conta que já teria pago antes {dia}/{mês}/{ano}. Maiores detalhes podem ser encontrados em: {link malicioso}
O seu pedido foi iniciado e aguarda a revisão do pagamento {link malicioso}
Figura 1. Amostra do e-mail de spam
Todas as mensagens contêm um link que aponta para um arquivo ".zip". Ao ser descomprimido, o arquivo gera um outro documento disfarçado de".PDF". Arquivos PDF são comumente repassados dentre organizações, e, como tal, funcionários que receberam esta mensagem de spam podem ser enganados, pensando que ela é legítima.
Figura 2. PrintScreen do arquivo anexado
Algumas das pastas de arquivo tem nomes como Versamento.zip, Transazione.zip, Compenso.zip, ou Saldo.zip. Estes nomes de arquivo podem ser traduzidos respectivamente como pagamento, transação, compensação e saldo, respectivamente. No entanto, em vez de ser um arquivo PDF, esses arquivos são, na verdade, uma variante do CryptoLocker detectado pela Trend Micro como TROJ_CRILOCK.YNG.
Semelhante a outras variantes de Cryptolocker, ele criptografa uma grande variedade de tipos de arquivos incluindo .DOTX, .DOCX,.DOC, .TXT, .PPT, .PPTX, e .XLSX entre outros. Todos estes tipos de arquivos estão associados com produtos Microsoft Office e são comumente utilizados nas operações diárias de empresas.
Para receber a ferramenta decodificada que supostamente poderá recuperar os arquivos cruciais dos usuários, os mesmos teriam que pagar um resgate em Bitcoins, um tipo de moeda digital. Uma das amostras que encontramos pediu um resgate de 1.375 BTC, que vale cerca de $500 dólares.
Os usuários italianos são os mais afetados por esta rodada particular de spam, pois um pouco mais da metade de todas as mensagens identificadas foram enviados para usuários na Itália. Um quarto foi para o Brasil, com outros países representando o restante. No seu auge, vários milhares de usuários foram afetados por dia.
Figura 3. Alvos Globais da Distribuição do TorrentLocker
Figura 4. Número de alvos infectados por dia
