TorrentLocker-ransomware

DEFINITIE VAN VIRUS

Type virus: malware/ransomware

Wat is TorrentLocker?

TorrentLocker (Trojan-Ransom.Win32.Rack in de Kaspersky Lab-classificatie) is een type cryptografische ransomware dat steeds populairder wordt.

De eerste versies van deze familie werden in februari 2014 waargenomen. Tegen december 2014 waren er ten minste vijf belangrijke releases van deze malware ontdekt.

Trojan-Ransom.Win32.Rack gebruikt een symmetrisch AES-blokcijfer om de bestanden van het slachtoffer te versleutelen en een asymmetrisch RSA-cijfer voor de encryptie van de AES-sleutel. Versies 1-3 bevatten een fout die het mogelijk maakt om de bestanden van het slachtoffer te ontsleutelen, en dit feit is geïmplementeerd in ons RannohDecryptor-hulpmiddel.

Helaas hebben de malwareontwikkelaars deze fout vanaf versie vier geïdentificeerd en gerepareerd, waardoor deze ontsleutelingsmethode niet meer werkt. Huidige versies van dit type malware eisen losgeldbetalingen via het Bitcoin-systeem en hosten de betalingspagina's op het Tor-netwerk.

Tegenmaatregelen

Alle versies van TorrentLocker worden succesvol gedetecteerd door een breed scala aan Kaspersky Lab-technologieën: op gedrag gebaseerde detectie (beoordelingen PDM:Trojan.Win32.Generic, HEUR:Trojan.Win32.Generic), definitiegebaseerde detectie (beoordeling Trojan-Ransom.Win32.Rack.*) en cloudgebaseerd detectie via KSN (beoordeling UDS:DangerousObject.Multi.Generic).

De meest doeltreffende detectie (op gedrag gebaseerd) wordt verzorgd door onze proactieve component. Deze component is niet afhankelijk van de inhoud van een uitvoerbaar bestand, maar maakt een beslissing op basis van de actie die het bestand uitvoert. Op deze manier kunnen we eventuele encryptiepogingen detecteren, ongeacht of het schadelijke exemplaar nieuw is of al eerder is waargenomen. Daarnaast hebben onze producten een nieuw subsysteem met maatregelen tegen cryptomalware. Schadelijke wijzigingen die aan de bestanden van gebruikers zijn toegebracht, worden automatisch ongedaan gemaakt. Meer informatie over dit systeem vind je in onze whitepaper.

Prevention

Back-upkopieën

Een consistent schema voor back-ups is de beste manier om de veiligheid van kritieke gegevens te garanderen. Maak regelmatig back-ups en sla die bovendien op een opslagapparaat op dat alleen toegankelijk is tijdens dit proces (bijvoorbeeld een verwijderbaar opslagapparaat dat onmiddellijk na de back-up de verbinding verbreekt). Als je deze aanbevelingen niet opvolgt, is de kans groot dat de back-upbestanden net als de oorspronkelijke bestanden door de ransomware worden versleuteld.

Anti-malwareoplossing

Zelfs met een regelmatig schema voor back-ups lopen de meest recente bestanden nog steeds gevaar. Ze kunnen dus verloren gaan bij een ransomware-aanval. Een anti-malwareoplossing met up-to-date computers en geactiveerde componenten is niet alleen essentieel voor de veiligheid van je gegevens, maar beschermt het systeem ook tegen andere soorten cyberdreigingen.

Bewustwording van internetbeveiliging

Moderne malware wordt vaak middels social engineering verspreid. Het is dus erg belangrijk om je bewust te zijn van de meestgebruikte trucs, zoals valse e-mailmeldingen van verschillende bekende diensten en organisaties. Deze valse e-mails bevatten vaak malware en ze zijn doorgaans moeilijk te onderscheiden van legitieme berichten. Gebruikers moeten dus op elk detail letten, voortdurend alert zijn en alleen bijlagen van vertrouwde bronnen openen. Zo kunnen ze zichzelf tegen infecties beschermen.