En septiembre de 2014, una ola de ransomware llegó a sus primeros objetivos en Australia, denominados CryptoWall y CryptoLocker. Las infecciones se propagaban a través de una cuenta falsa del correo australiano la cual enviaba un correo electrónico notificando entregas fallidas de paquetes. De este modo se evadía el chequeo del correo en los filtros de antispam y conseguía que llegasen a los destinatarios. Esta variante requería que los usuarios ingresaran en una página web y, previa comprobación mediante un código CAPTCHA, accedieran a la misma, antes de que el malware fuese descargado, de esta manera se evitó que procesos automáticos puedan escanear el malware en el correo o en los enlaces insertados.

Symantec determinó la aparición de nuevas variantes conocidas como CryptoLocker.F, el cual no tenía ninguna relación al original debido a sus diferencias en el funcionamiento. La Corporación Australiana de Broadcasting fue víctima de estos malware, la cual, durante media hora, interrumpió su programa de noticias ABC News 24 y tuvo que trasladarse a los estudios de Melbourne y abandonar las computadoras pertenecientes al estudio de Sídney debido a CryptoWall.

TorrentLocker es otro tipo de infección con un defecto, ya que usaba el mismo flujo de claves para cada uno de los computadores que infectaba, el cifrado paso a ser trivial pero antes de descubrirse ya habían sido 9000 los infectados en Australia y 11700 en Turquía.

La distribución actual es muy similar a las técnicas de propagación utilizadas en 2014. Los mensajes de correo electrónico contienen un enlace a una página donde se le indica a la víctima que debe descargar un documento (supuestamente una factura o un código de seguimiento de un pedido). Si el usuario descarga el documento (malicioso) y lo abre, ejecuta el malware TorrentLocker, que inicia la comunicación con el servidor de C&C y comienza a cifrar los archivos de la víctima.

Algunas de las empresas por las que se hizo pasar TorrentLocker entre abril y agosto del año 2016 son:

Como ya documentamos en 2014, para acceder a las direcciones URL distribuidas, es necesario hacerlo desde una dirección IP ubicada en el país objetivo de la campaña. En consecuencia, las páginas son difíciles de rastrear para los investigadores o rastreadores que no se encuentran en dicho país.

Se ha visto este tipo de ransomware en 22 países diferentes: Australia, Austria, Bélgica, República, Checa, Dinamarca, Francia, Alemania, Italia, Japón, Martinica, Holanda, Noruega, Polonia, Portugal, República de Corea, España, Suecia, Suiza, Taiwán, Tailandia, Turquía y Reino Unido.

En conclusión, TorrentLocker continúa mostrando bastante actividad y suele pasar desapercibido debido a la forma en que elige a sus víctimas potenciales mediante spam dirigido.

Fuente: https://es.wikipedia.org/wiki/Ransomware

Fuente: http://www.welivesecurity.com/la-es/2016/09/01/torrentlocker-ransomware-criptografico-activo/