Вымогатель TorrentLocker расширяет географию

Александр Панасенко 16 Сентября 2014 - 13:21

...

ESET предупреждает о распространении нового трояна-вымогателя, маскирующегося под официальные уведомления от почтовых служб. TorrentLocker распространяется с помощью спам-писем, содержащих ссылку на фишинговую страницу, где пользователю предлагается установить «программу для отслеживания почтовых отправлений». Антивирусные продукты ESET NOD32 детектируют новую угрозу как Win32/Filecoder.NCC или Win32/Injector.

Первые образцы спама с TorrentLocker, исследованные специалистами ESET, были ориентированы на австралийских пользователей и рассылались от лица почты Австралии. В настоящее время кибермошенники расширяют географию – эксперты ESET обнаружили аналогичные письма от лица британской Royal Mail.

Загрузка архива с TorrentLocker осуществляется с доменов royalmail-tracking.info, royalmail-tracking.biz и royalmail-tracking.org, зарегистрированных 2 сентября. Их оформление имитирует дизайн оригинального сайта Королевской почты Великобритании. Поддельные страницы показываются только британским пользователям – потенциальные жертвы с другими IP перенаправляются на google.com.

После установки и запуска TorrentLocker блокирует доступ к документам и требует за расшифровку 350 фунтов стерлингов, если средства будут отправлены в течение 72 часов, и 700 фунтов в ином случае. Выкуп предлагается оплатить биткоинами, причем для австралийских и британских пользователей заведены разные счета.

Интересно, что подобная схема распространения характерна не только для TorrentLocker. Летом 2014 года специалисты ESET в Польше обнаружили спам-письма от государственной почты, в приложении к которым содержался архив с трояном Win32/PSW.Papras.CK для кражи аутентификационных данных.

TorrentLocker распространяется с помощью спам-писем, содержащих ссылку на фишинговую страницу, где пользователю предлагается установить «программу для отслеживания почтовых отправлений». Антивирусные продукты ESET NOD32 детектируют новую угрозу как Win32/Filecoder.NCC или Win32/Injector." />

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 21 Октября 2025 - 20:53

InfoWatch ARMA Industrial Firewall Корпорации Сетевая безопасность Системы обнаружения и предотвращения вторжений (IPS/IDS)Защита критически важных объектов InfoWatch

В ARMA Industrial Firewall появилась поддержка протокола СПОДЭС

Группа компаний InfoWatch представила обновление промышленного межсетевого экрана ARMA Industrial Firewall до версии 3.15. Новая версия ориентирована на повышение защиты критической инфраструктуры, в том числе промышленных и энергетических объектов.

Главное нововведение — поддержка промышленного протокола СПОДЭС, разработанного ПАО «Россети» для передачи данных с интеллектуальных приборов учёта электроэнергии.

Благодаря глубокой инспекции этого протокола экран способен контролировать и защищать каналы обмена информацией между оборудованием, что особенно актуально на фоне роста кибератак на энергетическую инфраструктуру.

В числе других изменений — автоматическая загрузка индикаторов компрометации (IoC), предоставляемых ФСТЭК России. Ранее такие данные приходилось вводить вручную, теперь же система может оперативно применять защитные меры по поступающим признакам угроз.

Кроме того, в версии 3.15 улучшены инструменты мониторинга и интеграции: реализовано отслеживание состояния системы по протоколу SNMP, добавлен контроль состояния дисков и доработаны функции управления. Это позволяет быстрее обнаруживать сбои и снижать риски простоев.

По словам представителей компании, развитие линейки ARMA связано с ростом числа атак на промышленные сети и необходимостью адаптации решений под требования российских регуляторов и специфику отрасли.

Вымогатель TorrentLocker расширяет географию

Читайте также