Вредоносная программа TorrentLocker специализируется на шифровании документов, изображений и некоторых других файлов на компьютере пользователя. Для восстановления доступа к данным жертве предлагается заплатить выкуп в размере 1180 евро или 1500 долларов. Оплата производится в виртуальной криптовалюте Bitcoin, причем в новой версии трояна для каждой жертвы заводится отдельный электронный кошелек.
По оценкам аналитиков ESET, в ходе вредоносной кампании было заражено около 40 тыс. компьютеров в разных странах мира и зашифровано свыше 280 млн документов. В декабре скорость распространения TorrentLocker достигала 700 ПК в сутки. При этом 1,45% жертв (около 600 пользователей) полностью или частично оплатили выкуп, пополнив бюджет злоумышленников на 300-600 тыс. долларов.
Операторы TorrentLocker распространяют троян в фишинговых письмах с исполняемым файлом, замаскированным под документ Microsoft Office, в приложении. В другом сценарии фишинговые сообщения содержат вредоносный документ MS Office с макросом на языке Visual Basic. При открытии документа макрос осуществляет загрузку вредоносной программы с удаленного сервера. После запуска исполняемого файла TorrentLocker выполняет поиск и шифрование документов, соответствующих шаблону – более 230 различных типов файлов.
«Мы считаем, что за вредоносной кампанией по распространению TorrentLocker стоит та же группа лиц, которая ранее использовала для подобных целей сложное банковское ПО Hesperbot, – комментирует Марк-Этьен Левейе, вирусный аналитик ESET. – Авторы программы изменили некоторые внутренние алгоритмы, которые использовались в предыдущих версиях. Эти меры затрудняют анализ вредоносного ПО и расшифровку файлов пользователей».
Троян TorrentLocker внесен в сигнатурные базы антивирусных продуктов ESET NOD32 как Win32/Filecoder.Dl.