Ενώ τα Ransomlock Trojans έχουν εξαπλωθεί αρκετά τα τελευταία χρόνια, βλέπουμε ότι οι κυβερνοεγκληματίες αρχίζουν να χρησιμοποιούν ολο και πιο πολύ τα Ransomcrypt Trojans. Η διαφορά μεταξύ των Ransomlock και των Ransomcrypt Trojans είναι ότι τα Ransomlock κλειδώσουν την επιφάνεια εργασίας των υπολογιστών, ενώ τα Ransomcrypt κρυπτογραφούν μεμονωμένα αρχεία. Και οι δύο απειλές εκβιάζουν και αποζητούν λύτρα από τα θύματα τους.
Πρόσφατα, εντοπίστηκαν από την Symantec τα Trojan.Ransomcrypt.F (ή αλλιώς και Cryptolocker). Τα Trojan.Ransomcrypt.F κρυπτογραφούν αρχεία, όπως εικόνες και έγγραφα του Microsoft Office και στη συνέχεια απαιτούν λύτρα με Bitcoin ή MoneyPak για να τα αποκρυπτογραφήσουν. Το Trojan Ransomcrypt χρησιμοποιεί ισχυρούς αλγόριθμους κρυπτογράφησης που καθιστούν σχεδόν αδύνατη την αποκρυπτογράφηση των αρχείων χωρίς το κλειδί κρυπτογράφησης.
Σχήμα 1. Trojan.Ransomcrypt.F οθόνη πληρωμής
Τα περισσότερα από τα Trojan.Ransomlock.F που παρατηρήθηκαν από τη Symantec βρέθηκαν στη Βόρεια Αμερική.
Σχήμα 2. Trojan.Ransomlock.F χάρτης λοιμώξεων
Τα κακόβουλα αρχεία έρχονται με ένα email που περιέχει ένα συνημμένο κακόβουλο αρχείο το Trojan.Zbot, το οποίο στη συνέχεια εγκαθιστά το Trojan.Ransomlock.F. Το Trojan Ransomcrypt χρησιμοποιεί ένα domain generation algorithm (DGA) για να βρει και να συνδεθεί με τον διακομιστή διοίκησης και ελέγχου (C&C).
Σχήμα 3. Ransomcrypt αιτήματα DNS
Οι προγραμματιστές malware χρησιμοποιούν DGAS δώσουν στο κακόβουλο λογισμικό τους την δυνατότητα χρησιμοποίησης πολύ λίγων στατικών εξυπηρετητών. Όμως κακόβουλο λογισμικό, όπως το Trojan.Ransomcrypt.F χρησιμοποιεί δυναμικά domain names με βάση κάποια κριτήρια. Αυτό καθιστά ακόμη πιο δύσκολο να μπλοκαριστεί σύνδεση του με τους διακομιστές διοίκησης.
Σχήμα 4. Trojan.Zbot
Όταν συγκρίνουμε το Trojan.Zbot και το Trojan.Ransomcrypt.F βλέπουμε ομοιότητες στον κώδικα που μας οδηγούν στο συμπέρασμα ότι μπορεί να υπάρχει μια σύνδεση μεταξύ των δύο Trojans. Ο πηγαίος κώδικας του Zbot είναι ελεύθερα διαθέσιμος στο Διαδίκτυο.
