TorrentLocker este încă activ, iar datorită modului în care acesta vizează victimele potențiale cu spam direcționat, reușește să evite atenția pe care o primește cel mai proeminent cripto-ransomware.
TorrentLocker este distribuit prin intermediul mesajelor e-mail ce fac legătura cu o pagină web, unde se pretinde că un “document” (aparent o factură sau un cod de urmărire de colet) trebuie descărcat. În cazul în care “documentul” malițios este descărcat și deschis de către utilizator, TorrentLocker este executat. Acesta începe comunicarea cu serverul de comandă și control (C&C) și criptează fișierele victimei.
O caracteristică bine-cunoscută pentru TorrentLocker este modul în care sunt localizate paginile de descărcare, de răscumpărare și de plată. Victimelor li se furnizează informații în limba și în moneda locală.
Îmbunătățirile aduse atacurilor TorrentLocker vizează mecanismele prin care sunt contactate serverele sale de comandă și control, protecția serverelor de C&C printr-un strat suplimentar de criptare și mascare precum și procesul de criptare a fișierelor utilizatorilor.
Una dintre cele mai notabile îmbunătățiri ale caracteristicilor ține de adăugarea unui script în lanțul de execuție ce duce la executabilul final.
În analizarea acestui malware și a campaniilor sale, s-a constatat faptul că 22 de țări au primit o versiune localizată a paginii pentru răscumpărare. Cu toate acestea, 7 dintre acestea nu au fost afectate încă de nicio campanie majoră de spam legată de TorrentLocker. Acestea sunt Franța, Japonia, Martinica, Portugalia, Coreea, Taiwan și Thailanda.
