TorrentLocker, la menace est toujours présente

torrentlockerDepuis sa découverte et son analyse par la société de sécurité informatique et de logiciels antivirus ESET en 2014, TorrentLocker n’a cessé d’évoluer et de faire des dégâts sur les ordinateurs des particuliers et des professionnels.

A cause des multiples mises à jour faites par les pirates informatiques, le ransomware continue à extorquer de l’argent en demandant aux internautes infectés de payer une certaine somme pour récupérer leurs fichiers et le contrôle de leur ordinateur.

Nous faisons pour vous le point sur ce crypto-ransomware particulièrement dangereux.

Il fait partie, avec des ransomwares comme le dangereux Teslacrypt, des menaces virtuelles les plus changeantes et difficiles à contrer.

TorrentLocker est en effet toujours en activité, près de deux ans après sa découverte et son analyse par l’entreprise slovaque de sécurité informatique qui monte, ESET.

La faute à de nombreuses mises à jour faites par les hackers derrière le virus, notamment pour le rendre plus précis grâce à une liste qui exclu certains pays de ses cibles, mais surtout plus compliqué à analyser et plus discret. En bref, encore plus dangereux qu’il ne l’était à ses débuts.

Comment TorrentLocker fait il pour infecter un appareil ?

TorrentLocker infecte les appareils connectés à internet par le biais d’un simple email, qui invite son destinataire à ouvrir une pièce jointe apparemment inoffensive.

Une fois que le fichier malveillant est téléchargé et ouvert sur l’ordinateur cible, TorrentLocker se lance automatiquement et crypte tous les fichiers présents sur la machine en prenant le contrôle du C&C (le centre de commande et de contrôle). L’appareil est alors complètement chiffré et encodé, et il est impossible pour un utilisateur lambda d’en reprendre le contrôle.

D’après les experts en sécurité informatique de chez ESET, qui surveillent ce logiciel malveillant depuis maintenant plus de deux ans, une version encore plus maligne et sophistiquée vient de faire son apparition.

Marc-Etienne Léveillé, spécialiste du ransomware pour ESET, a expliqué à notre équipe que les cybercriminels à l’origine de TorrentLocker avait mis au point une tactique intelligente et sophistiquée visant à apporter progressivement des améliorations au programme tout en veillant à ne pas trop se faire remarquer des autorités et des grandes entreprises de sécurité informatique.

Une attaque spécifique pour chaque pays

La spécificité de TorrentLocker réside dans le fait que ses campagnes d’extortion de fonds sont toujours localisées dans un pays spécifique, avec un email-hameçon dans la langue du pays, tout comme une demande de rançon et une page de paiement adaptées au pays cible, au contraire de ransomwares qui attaquent à tout va comme CryptoXXX, par exemple.

Toutes les informations utilisées et les demandes de rançon sont raisonnablement bien traduites dans la langue du pays cible, ce qui renforce encore la terreur ressentie par la victime et la pousse à vouloir payer pour récupérer ses fichiers.

De nouvelles modifications techniques dans la structure du virus

La modification récente la plus importante de TorrentLocker vise à neutraliser les mécanismes de protection des pays visés par le virus.

Elle consiste à communiquer avec les serveurs C&C pour attaquer leur protection par l’intermédiaire d’une couche supplémentaire de chiffrement.

Dans le même temps, la protection de chiffrement spécifique aux utilisateurs est réduite par le programme. Un autre changement dans le code du crypto-locker est l’ajout d’un script dans la chaîne de commande qui mène à l’exécution du fichier .EXEC contenant le malware.

Comme l’explique M. Léveillé, le lien contenu dans l'email d’infection redirige vers un script PHP se trouvant sur un serveur compromis.

Le script vérifie si la personne ayant cliqué sur le lien se situe bel et bien dans le pays visé par l’attaque du ransomware, puis le redirige vers le lien de téléchargement de TorrentLocker si elle se trouve dans le pays ciblé, et vers une page aléatoire n’éveillant pas les soupçons comme Google si ce n’est pas le cas.

La France, prochaine cible de TorrentLocker ?

Les experts de chez ESET ont analysé et suivi les mouvements du ransomware et se sont rendu compte que pas moins de 22 pays avaient jusqu’à présent reçu une campagne de rançonnage avec une traduction spécifique du programme, dont la France.

Cependant, 6 de ces pays n’ont pour l’instant pas encore fait l’objet d’une campagne de spam massive de la part de TorrentLocker : le Japon, le Portugal, la Corée du Sud, Taiwan, la Thaïlande et… la France. Ce qui laisse penser que notre pays pourrait faire l’objet d’une attaque prochaine par le crypto-locker.

Il est d’ores et déjà conseillé aux internautes de vérifier leur logiciel antivirus et de s’assurer qu’il est correctement mis à jour.

Les meilleurs logiciels antivirus pour contrer les attaques de cryptage des ransomwares sont notamment BitdefenderNorton et enfin Kaspersky, qui a aussi l’avantage d’éradiquer les logiciels malveillants de votre ordinateur en plus de les empêcher de s’y installer.

N’hésitez pas à suivre notre site pour plus d’informations sur les prochaines menaces de sécurité informatique.