content/zh-cn/images/repository/isc/2017-images/malware-img-62.jpg
病毒定义

病毒类型:恶意软件/勒索软件

什么是 TorrentLocker?

TorrentLocker(卡巴斯基实验室分类:Trojan-Ransom.Win32.Rack)是一种当下越来越流行的加密勒索软件。

2014 年 2 月,该系列的第一个版本被发现;而截至 2014 年 12 月,至少五个该恶意软件的主要版本被发现。

Trojan-Ransom.Win32.Rack 会使用对称分组密码 AES 来加密受害者的文件,并会使用非对称加密算法 RSA 来加密 AES 密匙。版本 1-3 中包含了一个缺陷,使得我们有可能解密受害者的文件,而这也已在我们的 RannohDecryptor 实用程序中得到了执行。

遗憾的是,从第四个版本开始,该恶意软件的作者已识别并修复了这一缺陷,从而导致这种解密方法不再可行。该恶意软件目前的版本要求通过比特币系统支付赎金,并将其支付网页托管在 Tor 网络中。

应对措施

通过卡巴斯基实验室的各种技术,我们已成功检测出所有版本的 TorrentLocker,这些技术包括:行为技术(检测出了 PDM:Trojan.Win32.Generic、HEUR:Trojan.Win32.Generic)、基于签名的技术(检测出了 Trojan-Ransom.Win32.Rack.*)以及基于云的卡巴斯基安全网络(检测出了 UDS:DangerousObject.Multi.Generic)。

其中最有效的(基于行为的)检测是由我们的主动组件提供的。这种方式不必依赖可执行文件的内容,而是根据其执行的操作来作出判断,从而使我们不论该恶意样本是新的还是以前出现过的,都能检测出任何加密尝试。此外,我们的产品还整合了一个新的反加密恶意软件子系统,能够自动回滚对用户文件作出的恶意更改。更多有关该系统的信息,请参见我们的白皮书

预防

备份副本

保障关键数据安全的最佳方式就是制定一个持之以恒的备份计划。备份应定期进行,并且副本需创建在只能于该操作期间访问的存储设备上(比如会在备份后立即断开连接的移动式存储设备)。如果未能遵循这些建议,就可能会导致备份文件受到攻击和删除,或者被勒索软件以对付原文件相同的方法进行加密。

反恶意软件解决方案

即使制定了定期备份计划,但最近的文件仍可能处于不受保护的状态之下,并有可能遭到勒索软件攻击。一个拥有不断更新的库以及活跃组件的反恶意软件解决方案不仅对于确保数据安全来说必不可少,而且还能保护系统抵御其他类型的网络威胁。

互联网安全意识

现代的恶意软件通常会通过社会工程手段来传播,因此,了解最常用的骗术至关重要,例如冒充各种知名服务和组织发送的电子邮件通知。这些假冒的电子邮件消息通常会包含恶意软件,并且往往很难将其与合法通信区分开来。因此,用户应注意每一个细节,不断保持警惕,并且只打开来自可信来源的附件,以防范感染风险。

TorrentLocker 勒索软件

TorrentLocker 是一种使用对称分组密码 AES(高级加密标准)来加密文件,并使用非对称加密算法 RSA 来加密 AES 密匙的加密勒索软件。
Kaspersky Logo