بر اساس گزارش محققان امنیتی، حمله سایبری در منطقه EMEA که شامل کشورهایی مانند اسپانیا و ایتالیا میشود، پیادهسازی شده است. این دو کشور بیش از 80 درصد آلودگی را شامل میشوند. کمپین جدیدی که بر اساس بدافزار TorrentLocker حملههای خود را پیادهسازی میکند، در این کشورها، خود را بسیار فعال نشان داده است.
بدافزار TorrentLocker از طریق ایمیلهای اسپم گسترش مییابد که شامل لینکی به بدافزار است. این بدافزار از نوع بدافزارهای ransomware است که فایلهای کاربران را رمزنگاری میکند. گروه هک استفادهکننده از این بدافزار ابتدا در ماه دسامبر شناسایی شد. اما پس از مدتی سرورهای C&C آنها از کار افتاد. کشورهای ترکیه و استرالیا نیز از اهداف این گروه هک بودهاند.
هماکنون محققان امنیتی دو نوع از TorrentLocker را شناسایی کردهاند که در نوع رمزنگاری استفادهشده متفاوت هستند. بدافزار پس از رمزنگاری فایلهای قربانی، از او پول طلب میکند. روش پرداخت نیز با استفاده از پولهای مجازی مانند بیتکوین است تا رهگیری آن دشوار باشد.
TorrenLocker سامانههای مایکروسافتی را آلوده میکند. این بدافزار میتواند همه فایلهای موجود در سیستم قربانی را رمزنگاری کند. اما نمیتواند دادههای به اشتراکگذاری شده در شبکه را رمزنگاری کند.
بدافزار، پس از نصب در سیستم کاربر سعی میکند تا با سرور C&C خود ارتباط برقرار کند تا کلید رمزنگاری را دریافت کند. این ارتباط رمزنگاریشده و از نوع TLS است. نسخههای اولیه TorrentLocker تنها 2MB اولیه فایلها را با الگوریتم XOR رمزنگاری میکرد. اما نسخه اخیر از الگوریتم AES استفاده میکند.