Вирус-шифровальщик TorrentLocker отказался атаковать пользователей из России. Об этом сообщила пресс-служба ESET 7 сентября 2016 года.
Шифратор, известный с 2014 года, распространяется в фишинговых письмах под видом официальных уведомлений почтовых служб, телекоммуникационных или энергетических компаний. Письмо содержит ссылку на исполняемый файл TorrentLocker, после его загрузки программа шифрует файлы пользователя.
Схема работы вируса с 2014 года кардинально не менялась, но разработчики внесли несколько изменений. В ESET выяснили, что вымогатель «поддерживает» 22 страны, включая Австралию, Австрию, Великобританию, Германию, Испанию, Нидерланды, Францию, Чехию и др. При этом программа отказывается шифровать файлы жертв из нескольких стран: России, Украины, США и Китая.
После блокировки файлов компьютера TorrentLocker определяет местонахождение зараженного устройства по IP и требует выкуп на актуальном языке и в соответствующей валюте.
При этом малварь заботится о том, чтобы пользователь смог продолжить работу на зараженном компьютере – она не «трогает» системные файлы Windows. Новые версии TorrentLocker содержат список исключений, согласно которым шифрование файлов .exe, .dll и .sys невозможно.
Сайты, которые используются для распространения TorrentLocker, по-прежнему открываются только из той страны, на которую нацелена атака.