Вымогатель TorrentLocker нацелился на британских пользователей
Международная антивирусная компания Eset (Словакия) сообщила о распространении нового трояна-вымогателя, маскирующегося под официальные уведомления от почтовых служб.
Как говорится в заявлении Eset, поступившем в редакцию CNews, TorrentLocker распространяется с помощью спам-писем, содержащих ссылку на фишинговую страницу, где пользователю предлагается установить «программу для отслеживания почтовых отправлений». Антивирусные продукты Eset NOD32 детектируют новую угрозу как Win32/Filecoder.NCC или Win32/Injector.
Первые образцы спама с TorrentLocker, исследованные специалистами Eset, были ориентированы на австралийских пользователей и рассылались от лица почты Австралии. В настоящее время кибермошенники расширяют географию — эксперты Eset обнаружили аналогичные письма от лица британской Royal Mail.
Загрузка архива с TorrentLocker осуществляется с доменов royalmail-tracking.info, royalmail-tracking.biz и royalmail-tracking.org, зарегистрированных 2 сентября. Их оформление имитирует дизайн оригинального сайта Королевской почты Великобритании. Поддельные страницы показываются только британским пользователям — потенциальные жертвы с другими IP перенаправляются на google.com.
Фишинговая страница, имитирующая официальный сайт Royal Mail
После установки и запуска TorrentLocker блокирует доступ к документам и требует за расшифровку 350 фунтов стерлингов, если средства будут отправлены в течение 72 часов, и 700 фунтов в ином случае. Выкуп предлагается оплатить биткоинами, причем для австралийских и британских пользователей заведены разные счета.
Примечательно, что подобная схема распространения характерна не только для TorrentLocker. Летом 2014 г. специалисты Eset в Польше обнаружили спам-письма от государственной почты, в приложении к которым содержался архив с трояном Win32/PSW.Papras.CK для кражи аутентификационных данных.
Эксперты Eset рекомендуют игнорировать подозрительные письма, не переходить по подобным ссылкам и не загружать приложения.
Как говорится в заявлении Eset, поступившем в редакцию CNews, TorrentLocker распространяется с помощью спам-писем, содержащих ссылку на фишинговую страницу, где пользователю предлагается установить «программу для отслеживания почтовых отправлений». Антивирусные продукты Eset NOD32 детектируют новую угрозу как Win32/Filecoder.NCC или Win32/Injector.
Первые образцы спама с TorrentLocker, исследованные специалистами Eset, были ориентированы на австралийских пользователей и рассылались от лица почты Австралии. В настоящее время кибермошенники расширяют географию — эксперты Eset обнаружили аналогичные письма от лица британской Royal Mail.
Загрузка архива с TorrentLocker осуществляется с доменов royalmail-tracking.info, royalmail-tracking.biz и royalmail-tracking.org, зарегистрированных 2 сентября. Их оформление имитирует дизайн оригинального сайта Королевской почты Великобритании. Поддельные страницы показываются только британским пользователям — потенциальные жертвы с другими IP перенаправляются на google.com.
Фишинговая страница, имитирующая официальный сайт Royal Mail
После установки и запуска TorrentLocker блокирует доступ к документам и требует за расшифровку 350 фунтов стерлингов, если средства будут отправлены в течение 72 часов, и 700 фунтов в ином случае. Выкуп предлагается оплатить биткоинами, причем для австралийских и британских пользователей заведены разные счета.
Примечательно, что подобная схема распространения характерна не только для TorrentLocker. Летом 2014 г. специалисты Eset в Польше обнаружили спам-письма от государственной почты, в приложении к которым содержался архив с трояном Win32/PSW.Papras.CK для кражи аутентификационных данных.
Эксперты Eset рекомендуют игнорировать подозрительные письма, не переходить по подобным ссылкам и не загружать приложения.
Ещё новости по теме:
18:20