DEFINICIÓN DEL VIRUS
Tipo de virus: malware/ransomware
¿Qué es TorrentLocker?
TorrentLocker (Trojan-Ransom.Win32.Rack en la clasificación de Kaspersky Lab) es un tipo de ransomware criptográfico que está adquiriendo cada vez más popularidad.
Las primeras modificaciones de esta familia se observaron en febrero de 2014 y en diciembre de ese mismo año se descubrieron por lo menos cinco versiones importantes de este malware.
Trojan-Ransom.Win32.Rack utiliza un bloque cipher simétrico AES para cifrar los archivos de la víctima y un cipher asimétrico RSA para cifrar la clave AES. Las versiones 1-3 contienen una falla que permite descifrar los archivos de la víctima y esto fue implementado en nuestra utilidad RannohDecryptor.
Lamentablemente, a partir de la versión cuatro, los autores del malware identificaron y corrigieron esta falla, lo que hace imposible aplicar este método de descifrado. Las versiones actuales de este malware exigen pagos de rescate a través del sistema Bitcoin y alojan sus páginas web de pago en la red Tor.
Contramedidas
Todas las versiones de TorrentLocker se pueden detectar mediante el uso de una amplia variedad de tecnologías de Kaspersky Lab: de comportamiento (PDM:Trojan.Win32.Generic, HEUR:Trojan.Win32.Generic), basadas en firmas (Trojan-Ransom.Win32.Rack.*) y basadas en nube vía KSN (UDS:DangerousObject.Multi.Generic).
Nuestro componente proactivo ofrece la detección más eficaz (basada en comportamiento). Esta no depende del contenido de un archivo ejecutable, sino que analiza las acciones que realiza el archivo, lo que nos permite detectar cualquier intento de cifrado sin importar si la muestra maliciosa es nueva o ya la hemos observado. Además, nuestros productos incorporan un nuevo subsistema de contramedidas para cryptomalware que es capaz de revertir automáticamente los cambios maliciosos en los archivos de los usuarios. Para obtener más información sobre este sistema, revisa nuestro informe técnico.
Prevención
Copias de respaldo
La mejor manera de garantizar la seguridad de los datos críticos es implementar un calendario de copias de seguridad uniforme. Debes realizar copias de seguridad en forma regular y, además, debes crear estas copias en un dispositivo de almacenamiento al que accedas solo durante este proceso (por ejemplo, un dispositivo de almacenamiento extraíble que desconectes inmediatamente después de hacer la copia de seguridad). Si no sigues estas recomendaciones, el ransomware puede atacar y cifrar las copias de seguridad de tus archivos de la misma manera que los archivos originales.
Solución antimalware
Incluso si aplicas un calendario de copias de seguridad periódico, los archivos más recientes pueden quedar desprotegidos y desaparecer después de un ataque de ransomware. Una solución antimalware con bases de datos actualizadas y componentes activados no solo es fundamental para garantizar la seguridad de los datos, sino que también protege el sistema contra otros tipos de ciberamenazas.
Conciencia de seguridad en Internet
Los tipos de malware modernos a menudo se propagan a través de ingeniería social, por lo que es imperativo que conozcas los trucos más comunes de los atacantes, como notificaciones falsas por correo electrónico de diversos servicios y organizaciones conocidos. Estos mensajes de correo electrónico falsos suelen contener malware y con frecuencia es difícil diferenciarlos de las comunicaciones legítimas. Es por ello que los usuarios deben prestar atención a cada detalle, mantenerse atentos en forma continua y solo abrir archivos adjuntos de fuentes confiables para protegerse del riesgo de infección.