Ransomware TorrentLocker

DÉFINITION DU VIRUS

Type de virus : programme malveillant/ransomware

Qu'est-ce que TorrentLocker ?

TorrentLocker (Trojan-Ransom.Win32.Rack dans la classification de Kaspersky Lab) est un type de crypto-ransomware qui ne cesse de gagner en popularité actuellement.

Les premières modifications de cette famille ont été observées en février 2014, et depuis décembre 2014, au moins cinq versions importantes de ce programme malveillant ont été découvertes.

Trojan-Ransom.Win32.Rack utilise un algorithme de chiffrement en bloc symétrique AES pour chiffrer les fichiers de la victime ainsi qu'un algorithme de chiffrement asymétrique RSA pour chiffrer la clé AES. Les versions 1 à 3 contiennent une faille qui permet de déchiffrer les fichiers de la victime et cette fonctionnalité a été mise en œuvre dans notre utilitaire RannohDecryptor.

Malheureusement, depuis la version 4, les auteurs du programme malveillant ont identifié et corrigé cette faille, empêchant ainsi l'utilisation de cette méthode de déchiffrement. Les versions actuelles de ce programme malveillant demandent que les paiements soient effectués en bitcoins via les sites Internet hébergés sur le réseau Tor.

Contremesures

Un grand nombre de technologies Kaspersky Lab détectent l'ensemble des versions de TorrentLocker : comportementales (diagnostics PDM:Trojan.Win32.Generic, HEUR:Trojan.Win32.Generic), basées sur les signatures (diagnostics Trojan-Ransom.Win32.Rack.*), et basées dans le Cloud via KSN (diagnostics UDS:DangerousObject.Multi.Generic).

La détection la plus performante (basée sur les comportements) est fournie par notre composant proactif. Elle ne repose pas sur le contenu d'un fichier exécutable mais sur l'action qu'il réalise, nous permettant ainsi de détecter toutes les tentatives de chiffrement, que l'échantillon malveillant soit nouveau ou connu. De plus, nos produits intègrent un nouveau sous-système Cryptomalware Countermeasures Subsystem capable d'annuler automatiquement des modifications malveillantes apportées aux fichiers des utilisateurs. Pour obtenir des informations complémentaires sur ce système, consultez notre livre blanc.

Prévention

Copies de sauvegarde

Le meilleur moyen de garantir la sécurité des données stratégiques consiste à programmer une sauvegarde régulière. En outre, des copies doivent être créées sur un support de stockage accessible uniquement pendant ce processus (ex. appareil de stockage amovible qui se déconnecte immédiatement après la sauvegarde). À défaut de suivre ces recommandations, vous risquez qu'un ransomware attaque les fichiers sauvegardés et les chiffre, tout comme les fichiers d'origine.

Solution de protection contre les programmes malveillants

Même en programmant une sauvegarde régulière, une attaque par ransomware expose les fichiers les plus récents non protégés à une perte. Une solution de protection contre les programmes malveillants disposant des bases les plus récentes et de composants activés n'est pas simplement essentielle pour assurer la sécurité des données. Elle protège également le système contre d'autres types de cybermenaces.

Sensibilisation à la sécurité sur Internet

Les programmes malveillants actuels sont bien souvent propagés grâce des techniques d'ingénierie sociale. Il est donc important de connaître les pièges les plus couramment utilisés tels que des fausses notifications par e-mail émanant de différents services et organisations bien connus. Ces faux courriers électroniques contiennent fréquemment des programmes malveillants et sont bien souvent difficiles à distinguer des communications authentiques. C'est la raison pour laquelle les utilisateurs doivent être attentifs à tous les détails, rester en alerte permanente et ouvrir uniquement les pièces jointes provenant de sources fiables pour se protéger du risque d'infection.