Международная антивирусная компания ESET (Словакия) предупредила о распространении нового трояна-вымогателя, маскирующегося под официальные уведомления от почтовых служб.
TorrentLocker распространяется с помощью спам-писем, содержащих ссылку на фишинговую страницу, где пользователю предлагается установить «программу для отслеживания почтовых отправлений». Антивирусные продукты ESET NOD32 детектируют новую угрозу как Win32/Filecoder.NCC или Win32/Injector.
Первые образцы спама с TorrentLocker, исследованные специалистами ESET, были ориентированы на австралийских пользователей и рассылались от лица почты Австралии. В настоящее время кибермошенники расширяют географию — эксперты ESET обнаружили аналогичные письма от лица британской Royal Mail.
Загрузка архива с TorrentLocker осуществляется с доменов royalmail-tracking.info, royalmail-tracking.biz и royalmail-tracking.org, зарегистрированных 2 сентября. Их оформление имитирует дизайн оригинального сайта Королевской почты Великобритании. Поддельные страницы показываются только британским пользователям — потенциальные жертвы с другими IP перенаправляются на google.com.
После установки и запуска TorrentLocker блокирует доступ к документам и требует за расшифровку 350 фунтов стерлингов, если средства будут отправлены в течение 72 часов, и 700 фунтов в ином случае. Выкуп предлагается оплатить биткоинами, причем для австралийских и британских пользователей заведены разные счета.
Интересно, что подобная схема распространения характерна не только для TorrentLocker. Летом 2014 года специалисты ESET в Польше обнаружили спам-письма от государственной почты, в приложении к которым содержался архив с трояном Win32/PSW.Papras.CK для кражи аутентификационных данных.
Эксперты ESET рекомендуют игнорировать подозрительные письма, не переходить по подобным ссылкам и не загружать приложения.