Neste país esta ameaça disfarça-se de uma página dos correios Royal Mail, sendo que a mesma é utilizada para a distribuição deste malware.

O esquema é o normal: introduz o captcha e posteriormente é conduzido a descarregar um ficheiro que tem um payload executável. É interessante perceber-se que esta página, para já, está apenas disponível para os visitantes que se encontram na Inglaterra. A filtragem parece levar em conta o endereço de IP da potencial vítima. Se o pedido não vier de um IP inglês, então o visitante é redirecionado para a página www.google.com. Existem atualmente três domínios que estão a alojar esta página falsa:

royalmail-tracking.info
royalmail-tracking.biz
royalmail-tracking.org
royalmail-tracking.info

Informações de Registo

Como se pode verificar a data de registo destes domínios é 2 de Setembro, o que revela que esta campanha maliciosa começou muito recentemente.

Ficheiros encriptados na pasta de imagens do Utilizador

O aviso é mostrado aquando da execução de malware.

Assim que este malware se instala, os documentos da vítima são encriptados, sendo que é pedido um resgate de 350 libras, caso o pagamento seja feito nas primeiras 72 horas, ou 700 libras se for depois disso. O pagamento é feito por Bitcoin (1.19 BTC ou 2.38 BTC). Para esconder a infraestrutura, o servidor está armazenado num alojamento .onion na rede Tor.

Para facilitar o acesso das vítimas à página web, o TorrentLocker fornece links aos nodes Tor2Web de forma a que não tenham de instalar software adicionar para chegarem ao site .onion. O que é interessante é que o nome de domínio, door2tor.org, foi registado há apenas duas semanas. Talvez o seu propósito, seja permitir que as vítimas do TorrrentLocker contactem o servidor para que tenham acesso ao software que permite a desencriptação.

“Software de Desencriptação” vendido na rede Tor

Esta ameaça tem o nome TorrentLocker porque utiliza a chave de registo “Bit Torrent Application” para armazenar as suas definições. Importa salientar que não está de qualquer forma relacionado com o protocolo BitTorrent.

O Bitcoin Trail

Como foi descoberto pela iSIGHT Partners, a variante australiana que foi analisada solicitava que as Bitcoins fossem enviadas para 15aBFwoT5epvRK69Zyq7Z7HMPS7kvBN8Fg. No nosso caso, o endereço mudou para 13qm2ezhWSHWzMsGcxtKDhKNnchfP5Sp3X. Se olhar para as transações em ambas as carteiras verá que as mesmas são transferidas para 17gH1u6VJwhVD9cWR59jfeinLMzag2GZ43.

Desde Março de 2014, a Bitcoin wallet transferiu mais de 82 272 BTC. Sendo que 1 BTC se encontra avaliado em 480 dólares, o total de transações chega aos 40 milhões de dólares. Esta carteira já foi associada a outros esquemas no passado, incluindo o roubo de carteiras de Bitcoins ou falso hardware para minar Bitcoints. Não se sabe ao certo se é esta conta pertence ao grupo criminoso responsável pelo TorrentLocker, ou se é algum serviço partilhado entre diferentes grupos.

with other scams in the past, including wallet stealing and selling fake mining hardware. We do not know if this account is owner by the TorrentLocker gang or it is some kind of exchange service used by different groups.

A ESET deteta esta ameaça como Win32/Filecoder.NCC ou Win32/Injector.