Attention ! Le ransomware TorrentLocker devient plus dangereux !

Publié le 12 septembre 2016

Comme vous le savez si vous lisez régulièrement nos articles, les ransomwares sont très en vogue chez les cybercriminels. Ces programmes malveillants ont pour objectif de prendre votre ordinateur en otage et vous demandent une rançon pour récupérer vos précieux fichiers. C’est le cas de TorrentLocker, un ransomware qui continue, malheureusement, de faire son petit bonhomme de chemin.

Un ransomware découvert en 2014

Bientôt deux ans qu’Eset a tiré la sonnette d’alarme. En décembre 2014, l’éditeur antivirus dénonçait une toute nouvelle menace appelée TorrentLocker. A ce moment là, les ransomwares n’étaient pas autant médiatisés et les solutions pour s’en débarasser étaient inéxistantes. Il fallait donc prévenir les utilisateurs en amont pour qu’ils puissent éviter ce type de menace.

Aujourd’hui, Eset fait une piqûre de rappel puisque TorrentLocker continue de faire des ravages. Pire encore, le logiciel semble avoir évolué et serait encore plus dangereux.

Une menace qui s’adapte

En effet, les équipes d’Eset se sont penchées sur les derniers changements de TorrentLocker. Rien n’a changé concernant la méthode de diffusion du ransomware. Celui-ci passe toujours par des campagnes mail de phishing où la victime est invitée à cliquer sur un lien redirigeant vers un installeur infecté.

Quand TorrentLocker imite un opérateur autrichien

La procédure habituelle continue : le ransomware s’exécute alors et communique avec un serveur distant pour commencer à chiffrer les documents. S’affiche alors une page d’alerte expliquant que vos fichiers sont inaccessibles ainsi qu’une demande de rançon ciblée par rapport au pays visé. Mais TorrentLocker ne s’arrête pas là. Il est maintenant en mesure de vérifier que la victime se trouve bien dans le pays ciblé. « Le lien contenu dans le message de l’e-mail infecté dirige désormais vers un script PHP hébergé sur un serveur compromis. Ce script vérifie si le visiteur est situé dans le pays visé et, si oui, redirige vers la page où le malware sera téléchargé. Sinon, le visiteur est redirigé vers Google »  nous explique Marc-Etienne Léveillé, chercheur chez Eset.

Autre exemple de TorrentLocker

Pour l’instant, TorrentLocker ciblerait 22 pays ce qui fait autant de versions différentes du ransomware. Parmi eux, la France fait partie des pays visés mais aucune campagne massive de spam par mail n’a été détecté. TorrentLocker est donc une menace difficile à suivre en raison de ses nombreuses versions. Il convient d’être très vigilant et de veiller à ce que son antivirus soit opérationnel et bien à jour pour se protéger.

Source