Zákerný ransomvér s novou taktikou, ponúka odšifrovanie za infikovanie iných

Značky: ransomvér

DSL.sk, 12.12.2016

Bezpečnostní experti identifikovali v uplynulých dňoch nový modifikovaný spôsob, akým sa snažia tvorcovia ransomvéru, škodlivého kódu šifrujúceho súbory užívateľa, tento viac rozšíriť a zároveň zinkasovať viac.

Predmetný škodlivý kód nesie označenie Popcorn Time a objavila ho skupina MalwareHunterTeam, ďalšie informácie o ňom priniesol Bleeping Computer.

Podľa týchto informácií ransomvér pre Windows po spustení zašifruje rozličné typy súborov v adresároch s dokumentami užívateľa, konkrétne My Documents, My Pictures, My Music a na pracovnej ploche. K súborom pridáva koncovku ".filock".

Súbory sú podľa Bleeping Computer šifrované pomocou AES-256, či je použité nejakým spôsobom aj asymetrické šifrovanie a ďalšie bližšie technické informácie nie sú k dispozícii.

Ransomvér sa snaží získať prostriedky vydieraním užívateľov, keď sľubuje poskytnutie kľúča na dešifrovanie po zaplatení výkupného vo výške jeden Bitcoin, teda v súčasnosti cca 740 eur. Užívateľovi na to dáva sedem dní.

Odkaz nechaný užívateľom infikovaného PC, kliknite pre zväčšenie (obrázok: MalwareHunterTeam)

Nový modifikovaný spôsob ale spočíva v tom, že zavádza do ransomvéru istú obdobu systému multi level marketingu, provízií a referencií, vo fáze prvotného zapojenia sa pre obete nedobrovoľnú. Konkrétne tvorcovia ransomvéru avizujú obetiam možnosť získania dešifrovacieho kľúča zadarmo, ak užívateľ sám rozšíri škodlivý kód minimálne dvom ďalším užívateľom, ktorým budú súbory zašifrované a zároveň zaplatia výkupné. K tomu dáva užívateľovi odkaz smerujúci na URL na serveri v Tor sieti, ktorý má ďalej užívateľ šíriť. Na URL je zrejme podľa sprievodného textu spustiteľný súbor, ktorý má užívateľ donútiť spustiť iných užívateľov.

Na tejto schéme celkovo samozrejme profitujú len tvorcovia ransomvéru. Obete, ktoré sa samozrejme obeťami stali nedobrovoľne a budú sa snažiť infikovať ďalšie obete, tým môžu získať dešifrovací kľúč bez zaplatenia výkupného.

Tvorcovia ransomvéru v zanechanom odkaze na infikovaných počítačoch tvrdia, že sú zo Sýrie a všetky zaplatené prostriedky použijú na jedlo, lieky a prístrešie pre ľudí.

Podľa expertov vývoj Popcorn Time v súčasnosti ešte prebieha a v priebehu niekoľkých dní zaznamenali jeho vylepšenie. Akým spôsobom ho jeho tvorcovia primárne šírili, koľko má zatiaľ obetí a ako intenzívne ho šíria ďalej obete nie je známe.

Štandardným a najúčinnejším opatrením proti šifrujúcemu ransomvéru je pravidelne a dôsledne zálohovať, aby užívateľ po zašifrovaní súborov na PC o ne neprišiel. Dodržiavať je samozrejme vhodné aj štandardné bezpečnostné opatrenia, chyby otvárajúce počítače pre infikovanie sú ale prítomné v softvéroch vždy a zároveň účinnosť súčasných antivírusov proti novým neznámym škodlivým kódom je relatívne nízka.

Ak sa užívateľ stane obeťou ransomvéru, ktorý zašifroval súbory užívateľa silným šifrovaním, a užívateľ nemá k dispozícii potrebné zálohy, v malej časti prípadov v minulosti pomohlo užívateľom hromadné získanie dešifrovacích kľúčov zo serverov tvorcov ransomvéru bezpečnostnými spoločnosťami. Tieto kľúče môžu byť ale získané až oveľa neskôr ako užívateľ robí rozhodnutie ako postupovať.

Pre ostatné obete neexistuje univerzálne odporúčanie a k situácii je potrebné pristupovať individuálne podľa hodnoty stratených dát respektíve znefunkčnených systémov. Napríklad predstavitelia FBI v minulom roku avizovali, že často radia ľuďom zaplatiť výkupné za ich dáta. V časti prípadov samozrejme ani zaplatenie negarantuje poskytnutie funkčného dešifrovacieho kľúča a zaplatiť určite nie je vhodným univerzálnym odporúčaním.




Najnovšie články:



Diskusia:

posielam ransomware Od: Kiraa Corsac | Pridané: 12.12.2016 23:07 Ransomware a pyramídová hra v jednom, super nápad Odpovedať Známka: 9.2 Hodnotiť:

Re: posielam ransomware Od: wauuu | Pridané: 13.12.2016 0:13 A možno pri tom podporíš islamský štát. Odpovedať Známka: 8.3 Hodnotiť:

Re: posielam ransomware Od reg.: :BES: | Pridané: 13.12.2016 6:20 Mnohonarodne, pseudoislamske teroristicke zoskupenie. Stat=uzemie+institucie na jeho spravu. Nicim z uvedeneho nedisponuju=>nazov nezodpoveda obsahu, kryci manever. Odpovedať Známka: 6.7 Hodnotiť:

Re: posielam ransomware Od: Makovnik | Pridané: 13.12.2016 8:21 jj, nápaditejšie ako legálnosť úžerníctva. Odpovedať Známka: 7.8 Hodnotiť:

Re: posielam ransomware Od: Babrák O´Bama | Pridané: 13.12.2016 8:26 OVB verified. Odpovedať Známka: 9.0 Hodnotiť:

virus Od: koumak | Pridané: 12.12.2016 23:26 Ach kde su tie casy, ked virusy boli kreativne a hrali hudbu, zobrazovali kadejake efekty, blbli klavesnice, utekali kurzormi a podobne... teraz by som sa na mieste tvorcov hentakehoto `virusu` zakopal od hanby, lebo je to prasproste vydieranie bez stipky kreativity. Odpovedať Známka: 9.6 Hodnotiť:

Re: virus Od: .em | Pridané: 12.12.2016 23:55 terajsie virusy su jedine uz iba s prichutou kapitalizmu... all money, zero fun... Odpovedať Známka: 8.1 Hodnotiť:

Re: virus Od: rouen | Pridané: 13.12.2016 8:46 necitaj tolko toho Blahu, mas to potom v tej hlave popletene. Kradez a vydieranie nie je kapitalizmus, je to domena statu vacsinou. Odpovedať Známka: 0.4 Hodnotiť:

Re: virus Od: ja. | Pridané: 13.12.2016 11:14 A stat riadia ti, ktori dokazu najlepsie manipulovat ostatnymi, v kapitalizme teda ti, ktori maju k dispozicii najviac penazi. Vacsina velkych firiem vznikla tak, ze si to do oficialnej historie nedavaju. Napr. HSBC, pycha to medzi britskymi bankami, vznikla z penazi z opia a ludia, co ju zalozili, vyvolali dve opiove vojny. Odpovedať Známka: 8.7 Hodnotiť:

Re: virus Od reg.: K-NinetyNine | Pridané: 13.12.2016 9:08 stara Blazova tieto historicke kuriozity zbiera Odpovedať Známka: 6.0 Hodnotiť:

Re: virus Od: grw | Pridané: 13.12.2016 9:26 prave naopak, tento prisiel po dlhej dobe s niecim novym a dokonca aj zaujimavym Odpovedať Známka: 6.0 Hodnotiť:

vydieraci Od: ladislav m. | Pridané: 12.12.2016 23:37 Ja ich v noci podpalim, zhoria! Odpovedať Známka: 10.0 Hodnotiť:

Re: vydieraci Od: ahasverus | Pridané: 13.12.2016 0:08 Už zhoreli, či ešte horia? Odpovedať Známka: 6.7 Hodnotiť:

Re: vydieraci Od: maestro melsko | Pridané: 13.12.2016 1:15 Ja ich vyj...m do vzduchu! Odpovedať Známka: 8.6 Hodnotiť:

Re: vydieraci Od: maestro2 | Pridané: 13.12.2016 2:51 ooo treteeeej... Odpovedať Známka: 7.5 Hodnotiť:

Re: vydieraci Od: trololo | Pridané: 13.12.2016 8:45 Ma do papuce volaaaa Odpovedať Známka: 10.0 Hodnotiť:

Ešte nik a nič neposlal Od: troll36 | Pridané: 12.12.2016 23:46 http://dopice.sk/iJY Odpovedať Známka: -4.3 Hodnotiť:

NAJLEPŠÍ VÍRUS Od reg.: Zapredaný | Pridané: 13.12.2016 0:29 Takže keď mu prehodím virtuálne okná s fektovými dátami odšifruje ma to zadarmo? NAJLEPŠÍ VÍRUS! Odpovedať Známka: -8.0 Hodnotiť:

Re: NAJLEPŠÍ VÍRUS Od reg.: xho278 | Pridané: 13.12.2016 2:16 este to v tej virtualke musis zaplatit :D Odpovedať Známka: 10.0 Hodnotiť:

Re: NAJLEPŠÍ VÍRUS Od: zxczxczxc | Pridané: 13.12.2016 17:06 Ty si vazne myslis, ze tvorca je retardovany ako ty ??? Odpovedať Známka: 10.0 Hodnotiť:

zaujímavé Od: knjiCdo | Pridané: 13.12.2016 0:36 "poor and simple people" - knows how to program a sophisticated ransomware seems legit... Odpovedať Známka: 3.3 Hodnotiť:

Re: zaujímavé Od reg.: RB_    | Pridané: 13.12.2016 22:23 www.ransomwarecreator.com Odpovedať Hodnotiť:

Degeši Od reg.: Kvík? | Pridané: 13.12.2016 0:43 No teda Putinovu politiku inak fakt nemusím, ale tentokrát by som radšej ten Bitcoin poslal Voloďovi, nech im tam zhodí voľáku bombu. Odpovedať Známka: -1.9 Hodnotiť:

Deal.. Od: slecna.l | Pridané: 13.12.2016 1:55 Ak to funguje, vedlajsim efektom moze byt sociologicky prieskum; celkom by ma zaujimali statistiky, kolko ludi a komu to preposiela. Na druhej strane je hnusne, ak sa ako zamienka zlodejskej zarobkovej cinnosti vyuzivaju obete vojny. Odpovedať Známka: 8.8 Hodnotiť:

Otázka Od: Káblik. | Pridané: 13.12.2016 6:04 Prečo nikto nenapíše, čomu sa vyhýbať, aby niekto takúto nákazu neschytal?! Odpovedať Známka: 5.6 Hodnotiť:

Re: Otázka Od: Jamicon | Pridané: 13.12.2016 6:57 Vyhýbaj sa všetkému od M$ a budeš mať kľud. Prídeš tým síce o kreatívne obrazovky od tvorcov, (kontrola HDD pri štarte a pod.) tak neviem či to nebude škoda.. Odpovedať Známka: 5.3 Hodnotiť:

Re: Otázka Od: zxcvbn | Pridané: 13.12.2016 7:22 Vyhybaj sa napr. tomu aby si mal vystreleny protokol RDP do internetu. V idealnom pripade maj firewall nastaveny iba na porty 80 a 443 a postu. Vsetko ostatne blok. System 100% aktualizovany. A browsuj s doplnkami, ktore filtruju sracky typu bbelements, gemius a pod. Odpovedať Známka: 5.3 Hodnotiť:

výkupnývér Od reg.: Pjetro de | Pridané: 13.12.2016 7:13 to sa fakt zaobera iba tymi foldrami, alebo to hlada na celom C, alebo to prehladava vsetky particie? vlastne stacia iba tie foldre, aj tak je 90% pouzivatelov PC v p......pasci iba lama BFU pouziva Wokna s defaultnymi nastaveniami a o nic sa nesrata iba lamu BFU zaujima nieco ako My Documents, My Pictures, My Music a pracovna plocha na ktorej ma 500 ikon iba lama BFU moze vyuzivat tieto foldre bez presmerovania, alebo proste vsetko buchat inde, neviem si predstavit vsetky data na systemovom disku, od par kB dokumentov po desiatky GB MKVcka - to si rovno mozem kupit 10 TB HDD a spravit z neho C pre OS, co je cista samovrazda BTW: asymetircke sifrovanie tam bude asi veeeeelmi tazko lebo je pomale, jedine mozno tak v podobe hybridneho sifrovania (symetricky AES128/256 kluc zasifrovat asymetricky) - neviem si totiz predstavit asymetrickym sifrovanim sifrovat samotne 15 GB MKVcka ... Odpovedať Známka: -3.8 Hodnotiť:

Re: výkupnývér Od: Dr. Magor | Pridané: 13.12.2016 7:29 ak je to ako ostatne, preleze aj na ine disky a pripojene sietove disky tiez... Odpovedať Známka: 10.0 Hodnotiť:

Re: výkupnývér Od reg.: WinstonSmith | Pridané: 13.12.2016 8:26 Áno a presne lama, ktorú opisuješ je ich zákazník. Nebudú sa predsa zameriavať na power userov alebo, resp. na odborníkov. Odpovedať Známka: 0.0 Hodnotiť:

Re: výkupnývér Od: Aladin | Pridané: 13.12.2016 9:07 Podľa mňa to na také veľké súbory z vysoka jäbä, lebo v drvivej väčšine sú to filmy z netu, ktoré nemajú cenu lebo si ich môžeš stiahnuť znovu, ale také menšie fajly ako fotečky, dokumenty z MS Word a podobne bude mať taký vírus v obľube. :) Odpovedať Známka: 10.0 Hodnotiť:

Re: výkupnývér Od reg.: Pjetro de | Pridané: 13.12.2016 9:34 ano je to mozne, ze to ma obmedzenie na velkost suboru nic to ale nemeni na fakte, ze to asi nerozozna ci je tento x GB subor najnovsi blockbuster, alebo moje rodinne video (orientovat sa da mozno ako tak podla pripony, vacsina video-warez zceny je v MKV (resp. MP4), dnesne fotaky robia videa vacsinou do MOV, niektore (hlavne starsie zrkadlovky) do M2TS / MTS / TS) Odpovedať Známka: 10.0 Hodnotiť:

ransomvér Od: neviem meno | Pridané: 13.12.2016 8:12 Ako sa to vôbec šíri? Pokiaľ niekto iba prehliada web a nesťahuje každú debilinu tak to nemôže dostať...? Odpovedať Známka: 4.3 Hodnotiť:

Re: ransomvér Od: suxi | Pridané: 13.12.2016 8:20 vobec to nie je o tom, ze ak nestahujes debiliny, tak sa nenakazis... vacsinou na nakazu staci navstivit infikovany web. Odpovedať Známka: -1.4 Hodnotiť:

Re: ransomvér Od: Aladin | Pridané: 13.12.2016 9:08 Alebo otvoriť odkaz od odrazu príliš priateľského kamaráta. Odpovedať Známka: 10.0 Hodnotiť:

PopcornTime odporucam. Od: Ignacius | Pridané: 13.12.2016 9:15 Je vyborny,pozivam stale,aj ked kombinujem s Kodi. Odpovedať Známka: 7.1 Hodnotiť:

5ročnica Od: Ujo Kapitalista | Pridané: 13.12.2016 10:17 "Tvorcovia ransomvéru v zanechanom odkaze na infikovaných počítačoch tvrdia, že sú zo Sýrie a všetky zaplatené prostriedky použijú na jedlo, lieky a prístrešie pre ľudí." Zastrelím a okradnem každého koho stretnem a jeho peniaze dám potom bezdomovcom. GG. Odpovedať Známka: 10.0 Hodnotiť:

len tak medzi rečou Od: joereactor | Pridané: 13.12.2016 11:22 prelomili uz ransomver od sos@decryptfiles.com? Odpovedať Známka: 10.0 Hodnotiť:

filecock Od: gridlock01 | Pridané: 13.12.2016 12:21 dva virtualy a mas kluc? Odpovedať Známka: -2.0 Hodnotiť:

Re: filecock Od: DDHASD | Pridané: 13.12.2016 14:49 hej, ak zaplatis za odsifrovanie v tych dvoch virtualkach Odpovedať Známka: 10.0 Hodnotiť:

Inžinieri... Od: xyz. | Pridané: 13.12.2016 12:25 Po sekundách, minútach, hodinách, dňoch nasledujú roky... Toto ma presvedčilo že sa skutočne jedná o študentov počítačových vied, budúcich inžinierov zo Sýrie. Odpovedať Známka: 10.0 Hodnotiť:

vírus Od: ech | Pridané: 13.12.2016 12:38 Ak jeden nezaplatený bitcoin za odvírenie súborov oslabí tých raketových inžinierov, jadrových fyzikov ktorí majú za úlohu zaplaviť Európu, tak potom s radosťou zavírený počítač vyhodím von oknom, zero fucks given... Odpovedať Známka: 10.0 Hodnotiť:

The nasty way Od: kokooos | Pridané: 13.12.2016 15:33 Radsej stravim tyzden novou instalaciou a obnovovanim zaloh ako by som im mal dat lubovolne male nenulove epsilon BC. Odpovedať Známka: 3.3 Hodnotiť:

ransomware Od: grrr. | Pridané: 13.12.2016 18:20 Ransomware väčšinou využíva bitcoin platby za odšifrovanie. Nie je možné zmeniť fungovanie platieb bitcoinami tak aby bolo možné tomuto spôsobu vydierania ľudí zabrániť? Príde mi čudné že je bitcoin tak obľúbený aj keď v tejto podobe predstavuje pre ľudí dosť veľkú hrozbu. Je to ako "zázračný" kozmetický prípravok ktorý vás pri každom použití natrvalo urobí o niečo krajšími, ale zároveň vám každé použitie skráti život o 1 rok. Určité skutočnosti vyplývajúce zo systému na ktorom je bitcoin založený prinášaju isté značné riziko a to je nežiadúce. Človek by si pomyslel že tak dokonalý a bezpečný systém za ktorý ho každý má bude navrhnutý tak aby sa nedal nijako zneužiť. Odpovedať Známka: -7.5 Hodnotiť:

Re: ransomware Od: el hadica | Pridané: 13.12.2016 21:09 Ty si kkt... Odpovedať Známka: 7.5 Hodnotiť:

...... Od: čorv | Pridané: 13.12.2016 19:43 niekto proste vie, ako si zarobiť... Odpovedať Známka: 10.0 Hodnotiť:

Pridať komentár