98,6% das vítimas do TorrentLocker se recusam a pagar resgate em Bitcoin

98,55% das vítimas visadas pelo TorrentLocker não pagam o resgate em Bitcoin do vírus, de acordo com um novo relatório.

TorrentLocker (também conhecido como Win32 ou Filecoder.DI) é uma variedade de ransomware de Bitcoin que funciona criptografando os arquivos dos usuários. As vítimas são solicitadas a pagar até 4 BTC para descriptografar seus documentos, embora esse valor possa variar.

O relatório, de autoria de Marc-Etienne M Léveillé para empresa de segurança ESET, descobriu que apenas 570 dos 39.760 sistemas infectados tiveram acesso ao software de descriptografia após o pagamento do resgate integral.

"Em outras palavras, 1,44% de todos os usuários infectados que identificamos pagaram o resgate aos criminosos cibernéticos", escreve Léveillé, acrescentando: "Há também 20 páginas mostrando que bitcoins foram enviados, mas o acesso ao software de descriptografia T foi concedido porque o valor total T foi pago."

Os atacantes atacaram regiões específicas

Campanhas de spam projetadas para distribuir malware TorrentLocker foram direcionadas a países específicos, incluindo Áustria, França, Alemanha, Itália e Reino Unido, segundo o relatório.

A Turquia e a Austrália foram particularmente afetadas pela campanha de malware.

De acordo com dados dos servidores C&C, mais de 284 milhões de documentos foram criptografados pelo ransomware até agora.

Embora muito poucas vítimas tenham escolhido pagar o resgate, os distribuidores do TorrentLocker, que também são suspeitos de estar por trás doHesperbottrojan bancário, arrecadou uma quantia substancial de dinheiro – entre US$ 292.700 e US$ 585.401.

O relatório observa que a ESET identificou os primeiros vestígios do TorrentLocker em fevereiro de 2014. No entanto, seus desenvolvedores reagiram aos relatórios online e mudaram a maneira como o malware usa a criptografia AES depois que um método de descriptografia da chave foi encontrado.

O cripto-ransomware continua sendo uma ameaça

Os cibercriminosos têm como alvo vítimas inocentes com cripto-ransomware há mais de um ano, com o CryptoLockero vírus líderno campo.

Em junho de 2014, as autoridades internacionais conseguiramparalisar o ataque do CryptoLockerdesabilitando o GOZeuS, a rede P2P usada para controlar a rede. Quando esse golpe foi desferido, o CryptoLocker foi responsabilizado por causar US$ 27 milhões em danos.

Embora o TorrentLocker tenha tido alcance limitado em comparação ao CryptoLocker, no final de novembro o vírus estava infectando computadores a uma taxa de 691,5 por dia. O resgate médio do TorrentLocker é de 1,334 BTC com um desconto, ou 2,668 BTC depois. O número exato coletado pelos invasores permanece obscuro.

O relatório de Léveillé explica por que uma análise mais aprofundada é difícil:

"É difícil dizer quem pagou o valor total em oposição ao valor descontado (metade do preço). Por isso, decidimos usar um intervalo para quantificar o lucro obtido pelos criminosos. O valor total de bitcoins varia entre 760,38 BTC e 1.520,76 BTC. Com o valor do Bitcoin em 29 de novembro de 2014 (1 BTC avaliado em $ 384,94), significa que eles enganaram as vítimas em um valor entre $ 292.700 e $ 585.401."

Embora ainda haja dúvidas sobre como deter os operadores por trás de botnets como o TorrentLocker, Léveillé sugere uma maneira de remediar infecções nesse meio tempo: um backup offline.

Gráficos do TorrentLocker via ESET/Marc-Etienne M Léveillé, imagem de ransomware via Shutterstock.