TorrentLocker، که توسط ESET در سال 2014 مورد بررسی قرار گرفته بود هنوز فعال می باشد. این که بدافزار با استفاده از اسپم قربانیان خود را مورد حمله قرار می دهد، توجه کمتری را نسبت به باج افزار ها رمزنگاری دیگر به سوی خود جلب کرده است. البته محققان ESET هنوز مراقب این نرم افزار مخرب هستند.
Marc-Etienne M. Leveille یکی از محققان بدافزار شرکت ESET می گوید: ” افرادی که مسئول بدافزار TorrenLocker هستند هنوز هم فعالیت می کنند. این افراد تاکتیک خود را بهبود بخشیده و به آرامی نوآوری جدیدی به بدافزار خود اضافه کرده در عین حال از نظرها مخفی مانده اند.”
TorrentLocker توسط ایمیل منتشر می شود، به همراه یک صفحه که ادعا می کند حاوی یک “سند” (ظاهرا یک قبض یا کد رهگیری) می باشد و باید دانلود شود. اگر این “سند” دانلود شده و توسط کاربر باز شود، TorrentLocker اجرا می گردد. سپس ارتباط های خود را با سرور های C&C برقرار کرده و فایل ها را رمزنگاری می کند.
یکی از ویژگی های شناخته شده TorrentLocker این است که صفحات مربوط به دانلود، باج گیری و پرداخت، محلی هستند به این معنا که اطلاعات برای قربانیان به زبان خودشان ارسال شده و وجه رایج همان کشور درخواست می شود.
بهبود TorrentLocker در نحوه حفاظت مکانیزم رسیدگی به درخواست کاربران اینترنت در کشور های منتخب می باشد. برای مثال برای حفظ امنیت سرورها نحوه ارتباط به گونه ای است که با اضافه کردن یک لایه رمزنگاری و مبهم کردن روند رمز نگاری فایل ها امنیت را ارتقا بخشیده است.
یکی از ویژگی های قابل توجه، اضافه کردن script به زنجیره فایل ها می باشد که به فایل اجرایی نهایی منتهی می شود.
Marc-Etienne M. Leveille می گوید:” لینک موجود درون ایمیل اسپم، منجر به اجرای یک PHP script بر روی سرور می شود. سپس این script بررسی می کند که آیا این بازدید کننده از کشور های مورد هدف می باشد، اگر این گونه باشد بازدیدکننده را به صفحه دیگری که حاوی فایل دانلود می باشد منتقل می کند. در غیر اینصورت به صفحه گوگل منتقل می شود.”
در تجزیه و تحلیل این بدافزار، محققان ESET دریافتند که 22 کشور نسخه محلی از این باج افزار را دریافت نموده اند. البته 6 کشور هنوز به طور گسترده مورد حمله قرار نگرفته اند. این کشور ها عبارتند از: فرانسه، ژاپن، پرتغال، کره جنوبی، تایوان و تایلند.