98,6 % des victimes de TorrentLocker refusent de payer une rançon en Bitcoin

98,55 % des victimes ciblées par TorrentLocker ne paient pas la rançon en Bitcoin du virus, selon un nouveau rapport.

TorrentLocker (également connu sous le nom de Win32 ou Filecoder.DI) est une variante du rançongiciel Bitcoin qui chiffre les fichiers des utilisateurs. Les victimes sont invitées à payer jusqu'à 4 BTC pour déchiffrer leurs documents, mais ce montant peut varier.

Le rapport, rédigé par Marc-Etienne M Léveillé pour la firme de sécurité ESET, a constaté que seulement 570 des 39 760 systèmes infectés ont eu accès au logiciel de décryptage après avoir payé la rançon intégrale.

« En d'autres termes, 1,44 % de tous les utilisateurs infectés que nous avons identifiés ont payé la rançon aux cybercriminels », écrit Léveillé, ajoutant : « Il y a aussi 20 pages montrant que des bitcoins ont été envoyés mais que l'accès au logiciel de décryptage n'a T été donné parce que le montant total n'a T été payé. »

Les attaquants ont ciblé des régions spécifiques

Les campagnes de spam conçues pour distribuer le logiciel malveillant TorrentLocker ciblaient des pays spécifiques, notamment l'Autriche, la France, l'Allemagne, l'Italie et le Royaume-Uni, selon le rapport.

La Turquie et l’Australie ont été particulièrement touchées par la campagne de logiciels malveillants.

Selon les données des serveurs C&C, plus de 284 millions de documents ont été cryptés par le ransomware jusqu'à présent.

Alors que très peu de victimes ont choisi de payer la rançon, les distributeurs de TorrentLocker, qui sont également soupçonnés d'être à l'origine de l'attaque, ont refusé de payer la rançon.HesperbotLe cheval de Troie bancaire a gagné une somme d’argent substantielle – entre 292 700 $ et 585 401 $.

Le rapport note qu'ESET a identifié les premières traces de TorrentLocker en février 2014. Cependant, ses développeurs ont réagi aux rapports en ligne et ont modifié la façon dont le malware utilise le cryptage AES après qu'une méthode de décryptage de la clé a été trouvée.

Les crypto-ransomwares restent une menace

Les cybercriminels ciblent des victimes sans méfiance avec des crypto-ransomwares depuis plus d'un an, avec CryptoLocker le virus principalsur le terrain.

En juin 2014, les autorités internationales ont réussi àparalyser l'assaut de CryptoLockeren désactivant GOZeuS, le réseau P2P utilisé pour contrôler le réseau. Au moment de ce coup dur, CryptoLocker était accusé d'avoir causé 27 millions de dollars de dommages.

Bien que TorrentLocker ait une portée limitée par rapport à CryptoLocker, fin novembre, le virus infectait les ordinateurs à un rythme de 691,5 par jour. La rançon moyenne pour TorrentLocker s'élève à 1,334 BTC avec remise, ou 2,668 BTC après. Le montant exact collecté par les attaquants reste incertain.

Le rapport de Léveillé explique pourquoi une analyse plus approfondie est difficile :

Il est difficile de déterminer qui a payé le montant total ou celui remboursé (moitié prix). C'est pourquoi nous avons décidé d'utiliser une fourchette pour quantifier le profit réalisé par les criminels. Le montant total des bitcoins varie entre 760,38 et BTC . Compte tenu de la valeur du Bitcoin au 29 novembre 2014 (1 BTC valant 384,94 $), cela signifie qu'ils ont escroqué leurs victimes d'un montant compris entre 292 700 et 585 401 $.

Alors que des questions subsistent sur la manière d’arrêter les opérateurs derrière des botnets comme TorrentLocker, Léveillé suggère une façon de remédier aux infections en attendant : une sauvegarde hors ligne.

Graphiques TorrentLocker via ESET/Marc-Etienne M Léveillé, image du ransomware via Shutterstock.