Il 98,6% delle vittime di TorrentLocker rifiuta di pagare il riscatto in Bitcoin

Secondo un nuovo rapporto, il 98,55% delle vittime prese di mira da TorrentLocker non paga il riscatto in Bitcoin del virus.

TorrentLocker (noto anche come Win32 o Filecoder.DI) è un tipo di ransomware Bitcoin che funziona crittografando i file degli utenti. Alle vittime viene chiesto di pagare fino a 4 BTC per decriptare i loro documenti, anche se questa cifra può variare.

IL rapporto, scritto da Marc-Etienne M Léveillé per l'azienda di sicurezza ESET, ha scoperto che solo 570 dei 39.760 sistemi infetti hanno avuto accesso al software di decrittazione dopo aver pagato l'intero riscatto.

"In altre parole, l'1,44% di tutti gli utenti infetti che abbiamo identificato ha pagato il riscatto ai criminali informatici", scrive Léveillé, aggiungendo: "Ci sono anche 20 pagine che dimostrano che sono stati inviati bitcoin ma T è stato concesso l'accesso al software di decrittazione perché T è stato pagato l'intero importo".

Gli aggressori hanno preso di mira regioni specifiche

Secondo il rapporto, le campagne di spam progettate per distribuire il malware TorrentLocker erano mirate a paesi specifici, tra cui Austria, Francia, Germania, Italia e Regno Unito.

La campagna malware ha colpito duramente soprattutto la Turchia e l'Australia.

Secondo i dati dei server C&C, finora il ransomware ha crittografato più di 284 milioni di documenti.

Mentre pochissime vittime hanno scelto di pagare il riscatto, i distributori di TorrentLocker, che sono anche sospettati di essere dietro l'Hesperbottrojan bancario, hanno guadagnato una notevole quantità di denaro, tra $ 292.700 e $ 585.401.

Il rapporto rileva che ESET ha identificato le prime tracce di TorrentLocker nel febbraio 2014. Tuttavia, i suoi sviluppatori hanno reagito ai report online e hanno modificato il modo in cui il malware utilizza la crittografia AES dopo che è stato trovato un metodo per decifrare la chiave.

Il crypto-ransomware resta una minaccia

I criminali informatici prendono di mira vittime ignare con il crypto-ransomware da più di un anno, con CryptoLockeril virus principalesul campo.

Nel giugno 2014, le autorità internazionali sono riuscite aparalizzare l'assalto di CryptoLockerdisattivando GOZeuS, la rete P2P utilizzata per controllare la rete. Quando questo colpo è stato sferrato, CryptoLocker è stato ritenuto responsabile di aver causato danni per 27 milioni di dollari.

Sebbene TorrentLocker abbia avuto una portata limitata rispetto a CryptoLocker, a fine novembre il virus infettava i computer a un ritmo di 691,5 al giorno. Il riscatto medio di TorrentLocker è di 1,334 BTC con uno sconto, o 2,668 BTC in seguito. La cifra esatta raccolta dagli aggressori rimane poco chiara.

Il rapporto di Léveillé spiega perché è difficile effettuare ulteriori analisi:

"È difficile dire chi ha pagato l'importo intero rispetto all'importo rimborsato (metà prezzo). Per questo motivo, abbiamo deciso di utilizzare un intervallo per quantificare il profitto realizzato dai criminali. L'importo totale di bitcoin varia tra 760,38 BTC e 1.520,76 BTC. Con il valore del Bitcoin al 29 novembre 2014 (1 BTC valutato a $ 384,94), significa che hanno truffato le vittime per un importo compreso tra $ 292.700 e $ 585.401."

Mentre restano dubbi su come fermare gli operatori di botnet come TorrentLocker, Léveillé suggerisce ONE modo per porre rimedio nel frattempo alle infezioni: un backup offline.

Grafici TorrentLocker tramite ESET/Marc-Etienne M Léveillé, immagine ransomware tramite Immagine.