Новое вымогательское ПО TorLocker распространяется только в Японии

Специалисты из Symantec сообщают о локализованном варианте программы-вымогателя TorLocker. Вредонос, который распространяется исключительно в Японии, шифрует файлы с определенными расширениями и требует плату за ключи расшифровки. Symantec зафиксировала многочисленные варианты этого трояна.

Атаки на японских пользователей совершались со скомпрометированных web-страниц блогов. Не исключено, впрочем, что атакующий арендует набор эксплоитов и эксплуатирует уязвимости в программном обеспечении на компьютерах жертв. Известен инцидент, когда скомпрометированный сайт одного из японских издательств перенаправил трафик на несколько доменов, содержащих набор эксплоитов Rig. Последний мог служить полезной нагрузкой для трояна.

В ходе другого сценария на подконтрольном злоумышленникам сайте для блогов демонстрировалась фальшивая установочная страница Adobe Flash Player. После нажатия кнопки «установить» пользователи должны установить плагины, а для этого загрузить и выполнить установочный файл. Однако в нем нет характерной иконки, а также цифровой подписи, что указывает на сомнительное происхождение инсталлятора.

Выполненный установочный файл не устанавливает Flash Player, а шифрует некоторые файлы и выводит на экран всплывающее окно с информацией на японском языке о том, что компьютер заблокирован. Для расшифровки файлов жертвы должны заплатить сумму в размере от $500 до $3600.