TorrentLocker de Ransomware

TorrentLocker (Trojan-Ransom.Win32.Rack en la clasificación de Kaspersky Lab) es un tipo de ransomware criptográfico que está adquiriendo cada vez más popularidad.

Las primeras modificaciones de este se observaron en febrero de 2014 y en diciembre de ese mismo año se descubrieron por lo menos cinco versiones importantes de este malware.

Trojan-Ransom.Win32.Rack utiliza un bloque cipher simétrico AES para cifrar los archivos de la víctima y un cipher asimétrico RSA para cifrar la clave AES. Las versiones 1-3 contienen una falla que permite descifrar los archivos de la víctima y esto fue implementado en nuestra utilidad RannohDecryptor

Lamentablemente, a partir de la versión cuatro, los autores del malware identificaron y corrigieron esta falla, lo que hace imposible aplicar este método de descifrado. Las versiones actuales de este malware exigen pagos de rescate a través del sistema Bitcoin y alojan sus páginas web de pago en la red Tor.

Contramedidas: Todas las versiones de TorrentLocker se pueden detectar mediante el uso de una amplia variedad de tecnologías de Kaspersky Lab: de comportamiento (PDM:Trojan.Win32.Generic, HEUR:Trojan.Win32.Generic), basadas en firmas (Trojan-Ransom.Win32.Rack.*) y basadas en nube vía KSN (UDS:DangerousObject.Multi.Generic).

El componente proactivo ofrece la detección más eficaz (basada en comportamiento). Esta no depende del contenido de un archivo ejecutable, sino que analiza las acciones que realiza el archivo, lo que nos permite detectar cualquier intento de cifrado sin importar si la muestra maliciosa es nueva o ya ha sido observada. Además, los productos incorporan un nuevo sub-sistema de contramedidas para cryptomalware que es capaz de revertir automáticamente los cambios maliciosos en los archivos de los usuarios.

Resultado de imagen para TorrentLocker

Entradas relacionadas

Dejar un Comentario