Brytyjska firma zajmująca się bezpieczeństwem cybernetycznym Sophos ostrzegła niedawno przed nowym rodzajem oprogramowania ransomware, które udaje bezpłatne narzędzie do odszyfrowywania plików przechwyconych przez oprogramowanie ransomware DJVU i może podwójnie szyfrować pliki. O tym poinformowała firma 8 czerwca na swojej stronie internetowej.
Jak wyjaśnia Sophos, to nowe złośliwe oprogramowanie ukrywa się jako instrument zabezpieczający przed ransomware i ponownie szyfruje pliki wcześniej zaszyfrowane przez oprogramowanie ransomware, które ofiara chce w tym przypadku wyeliminować, DJVU.
Ta firma, która stworzyła oprogramowanie zabezpieczające i produkty sprzętowe, przeanalizowała darmową aplikację Double-Crossing ransomware Decryptor, która twierdzi, że jest oprogramowaniem przeciw ransomware, i odkryła, że to naprawdę kolejne zagrożenie cybernetyczne .
Tak działa fałszywy deszyfrator
Jak wspomniano powyżej, oprogramowanie ransomware DJVU, które ma swoją nazwę od rozszerzenia .djvu, to ten fałszywy deszyfrator, który twierdził, że jest usuwany. Jak wyjaśnił Sophos, aby nadać mu pozór legalności , ten fałszywy deszyfrator prosi ofiarę ransomware DJVU o podanie osobistej identyfikacji i rozszerzenia pliku, ale oprogramowanie ignoruje takie informacje, więc badacze Sophos twierdzą, że to Okno dialogowe jest używane tylko „jako inicjator szyfratora fałszywego w deszyfratorze”.
Sophos odkrył, że narzędzie, które twierdziło, że odszyfrowuje pliki przejmowane przez ransomware DJVU, jest w rzeczywistości oprogramowaniem ransomware w przebraniu. Źródło: Sophos
Sophos poinformował, że fałszywy deszyfrator wyodrębnia kopię innego programu o nazwie crab.exe, który jest osadzony w nim jako zasób danych, i tworzy jego kopię w folderze TEMP (w którym przechowywane są pliki tymczasowe urządzenia), aktywuje go, a następnie usuwa z systemu.
Z Sophos wyjaśnił, że ponieważ jest to nieskonstruowane oprogramowanie ransomware, crab.exe sprawdza pliki, aby uzyskać te, które pasują do listy rozszerzeń plików do zaszyfrowania; po tym koduje otrzymywane pliki losowo wybranym kluczem graficznym. Należy zauważyć, że ta lista zawiera oprogramowanie ransomware DJVU, które fałszywy deszyfrator twierdzi, że chce je usunąć .
Dlatego, według Sophos, uruchomienie tego rzekomego deszyfratora spowoduje , że pliki, które nie zostały jeszcze dotknięte złośliwym oprogramowaniem DJVU, zostaną zaszyfrowane i będą miały rozszerzenie .ZRB, które jest wykorzystywane przez to złośliwe oprogramowanie; a te, które są już zaszyfrowane, zostaną podwójnie zaszyfrowane , odzwierciedlając rozszerzenie formy .djvu.ZRB.
Przesłanie cyberataków
Po zakończeniu procesu szyfrowania szkodliwe oprogramowanie tworzy tapetę systemu Windows jako czarne tło, na której dodaje do pulpitu plik o nazwie –DECRYPT – ZORAB.txt wraz ze wskazówkami dotyczącymi ratowania zaszyfrowanych plików, powiedział komunikat pokazane poniżej:
Wiadomość od cyberataków za fałszywym deszyfratorem DJVU. Źródło: Sophos
W wiadomości cyberprzestępcy nie pokazują kwoty do zapłaty za okup za pliki, ani strony internetowej ani adresu moneredo aktywów do transferu środków; jedyną rzeczą, która się pojawia, jest pozorna osobista identyfikacja i pseudo-anonimowy adres e-mail ProtonMail, rzekomo w celu skontaktowania się z autorami cyberprzestępczości i zakupu narzędzia do odszyfrowania plików.
Wszechstronne złośliwe oprogramowanie
Sophos poinformował, że hakerzy stojący za tym oprogramowaniem ransomware mogą bardzo łatwo przekształcić to oprogramowanie w inne fałszywe narzędzia, które mogą również rozprzestrzeniać się jako deszyfratory innych podobnych zagrożeń, zmieniając tylko niektóre ciągi tekstowe i kompilując je ponownie, modyfikując tytuł w oknie i rozbudowa.
W tym konkretnym przypadku Sophos wnioskuje, że ta pierwsza wersja jest skierowana do osób dotkniętych ransomware DJVU, ponieważ początkowe wersje tego złośliwego oprogramowania można odszyfrować za pomocą bezpłatnych narzędzi:
„Zakładamy, że tym razem atakowano DJVU, ponieważ wczesne wersje tego szkodliwego oprogramowania można było odszyfrować za darmo, ale wygląda na to, że przestępcy DJVU wprowadzili pewne„ ulepszenia ”, aby utrudnić odszyfrowanie bez płacenia”. Sophos.
Ponadto badacze Sophos wskazali, że w testach wykryli inny koder plików z rozszerzeniem crab.exe, który „nie wydawał się zbyt dobrze zaprogramowany”, ponieważ w swoich testach nie był w stanie zaszyfrować plików „z powodów, które mogły łatwo ominięto », a także zaszyfrowano wiadomość o okupie wkrótce po jej utworzeniu, skazali.
Niektóre rekomendacje
Ta firma zajmująca się cyberbezpieczeństwem nie zna liczby osób, które zostały poszkodowane przez ten fałszywy deszyfrator, ale ważne jest, aby pamiętać, że oprogramowanie ransomware atakuje nie tylko duże firmy i sieci korporacyjne, ale także osoby fizyczne, które mogą zostać dotknięte z domu, przez które Sophos przedstawił pewne zalecenia, które należy wziąć pod uwagę, dzięki którym można zmniejszyć ryzyko bycia ofiarą tego rodzaju zagrożenia.
Wśród zaleceń podanych przez Sophos wspomnieli, aby nie tracić czujności, szukając darmowego narzędzia do odszyfrowywania plików przechwyconych przez oprogramowanie ransomware, a także: nie otwierając nieoczekiwanych załączników, nie klikając nieoczekiwanych łączy internetowych; i nie pobieraj oprogramowania, o które nie prosiłeś „tylko dlatego, że ktoś, kogo nie znasz, powiedział ci”
Inne zalecenia podane przez Sophos to: przeprowadzanie odpowiednich aktualizacji zabezpieczeń i uzyskiwanie ich poprawek; poszukaj antywirusa „zawierającego filtr w czasie rzeczywistym, aby zatrzymać złośliwe zachowanie, zanim wyrządzi szkodę, oraz wbudowany filtr internetowy, który chroni go przed atakami hakerów lub szkodliwych witryn”; okresowo wykonuj kopie zapasowe, aby mieć możliwość odzyskania uszkodzonych lub utraconych plików; i „jeśli utkniesz, zapytaj kogoś, kogo znasz i któremu ufasz, zamiast szukać więcej i więcej online sam”.
Ransomware według kolejności dnia
25 maja włoska agencja ds. Bezpieczeństwa cybernetycznego AGID-CERT opublikowała raport ostrzegający o oprogramowaniu ransomware udającym Immuni, narzędzie do śledzenia i lokalizacji COVID-19 w kraju europejskim.
To ramsonware, które nazywa się „FuckUnicorn”, przejmuje kontrolę nad urządzeniami mobilnymi i komputerami, a następnie pokazuje ofierze za pośrednictwem wiadomości tekstowej instrukcje postępowania w celu ratowania, które zostało naprawione po 300 euro w bitcoinach (BTC).
Pod koniec maja Sophos opublikował ostrzeżenie dotyczące nowego oprogramowania ransomware o nazwie Ragnar Locker, które ukrywa się na urządzeniach, które atakuje za pośrednictwem pełnej zainstalowanej maszyny wirtualnej. To oprogramowanie ransomware ma na celu atakowanie sieci biznesowych i żądanie 1580 BTC jako okupu.
Ostatnio duże organizacje, takie jak firma San Antonio Aerospace, gigant telekomunikacyjny w Afryce, Telkom i Digital Management Inc. (DMI), wykonawca IT NASA, były celem ataków różnych grup operacyjnych ransomware. W szczególności były to warianty oprogramowania ransomware: odpowiednio Maze, Sodinokibi i DopplePaymer.
Polecane zdjęcie autorstwa Gerda Altmanna / pixabay.com
Źródło wiadomości: Bitcoin.es
Dodaj komentarz