Ένα νέο κύμα μηνυμάτων spam με σύνδεση στο file-encryption malware Critroni αποσκοπεί στην εξαπάτηση ανυποψίαστων παραληπτών και υποτίθεται ότι αφορά μια ενημέρωση για τον Chrome web browser που είναι διαθέσιμη σε τοποθεσία που παρέχεται στο μήνυμα.
Το Critroni, επίσης γνωστό ως CTB-Locker, είναι ένα ransomware που κρυπτογραφεί τα δεδομένα στο σύστημα που μολύνεται και στη συνέχεια, εμφανίζει ένα μήνυμα που ζητά από το θύμα χρήματα για να ξεκλειδώσει τα αρχεία του.
Σύμφωνα με τον Jerome Segura από την Malwarebytes, το κακόβουλο payload έχει ανακτηθεί από ιστοσελίδες που εμφανίζονται να έχουν παραβιαστεί από τους εγκληματίες του κυβερνοχώρου για να φιλοξενούν το κακόβουλο λογισμικό.
Ghost: Εξάρθρωση της πλατφόρμας κρυπτογραφημένων επικοινωνιών
Η απειλή βασίζεται σε ένα δυναμικό μηχανισμό ανακατεύθυνσης, το οποίο έχει καθοριστεί να είναι σε assetdigitalmarketing [.] Com / redirect PHP [.]. Αυτό που το θύμα λαμβάνει είναι ένα αρχείο που προσποιείται ότι είναι ένα πρόγραμμα εγκατάστασης για τον Google Chrome. Μόλις εκτελεστεί το αρχείο, η διαδικασία κρυπτογράφησης αρχίζει και το μήνυμα για τα λύτρα εμφανίζεται όταν η λειτουργία ολοκληρωθεί.
Η ανάκτηση των δεδομένων χωρίς να καταβληθούν τα λύτρα μπορεί να επιτευχθεί αν είναι μια παλαιότερη παραλλαγή του κακόβουλου λογισμικού, το οποίο δεν διαγράφει τα shadow copies που δημιουργούνται από το Windows Volume Shadow Service. Στην περίπτωση που αυτό δεν συμβαίνει, τα στοιχεία μπορούν να ανακτηθούν χρησιμοποιώντας προγράμματα όπως το Shadow Explorer. Ωστόσο, δεν είναι έχουν όλες οι παραλλαγές αυτό το ελάττωμα.
Μία από τις πιο πρόσφατες εκδόσεις του Critroni έρχεται με μια παρατεταμένη περίοδο χάριτος για την εκτέλεση της Bitcoin πληρωμής, 96 ώρες αντί για την αρχική των 72 ωρών, αλλά έχει και υψηλότερες οικονομικές απαιτήσεις, μερικές εκατοντάδες δολάρια, αντί των 50 που ζητούσε το καλοκαίρι του 2014 .
Έχει επίσης εκδόσεις του μηνύματος για τα λύτρα σε πολλές γλώσσες και προσφέρει τη δυνατότητα να αποκρυπτογραφήσει ένα σύνολο πέντε στοιχείων, ως ένδειξη καλής πίστης.
Η Malwarebytes φαίνεται να έχει εντοπίσει την πιο πρόσφατη έκδοση του ransomware (ανιχνεύεται ως Trojan.ZBAgent.NS), καθώς το αίτημα πληρωμής είναι για 2 bitcoins (επί του παρόντος περίπου $ 450 / € 400) και η προθεσμία είναι 96 ώρες. Όταν ο χρόνος αναμονής παρέλθει, το κλειδί που αποκρυπτογραφεί τα δεδομένα διαγράφεται από το διακομιστή και το θύμα μένει με τα κρυπτογραφημένα αρχεία.
Σχετικά με αυτή την απάτη, ιδίως, οι χρήστες θα πρέπει να γνωρίζουν ότι ο Google Chrome ενεργοποιείται αυτόματα στο παρασκήνιο, χωρίς την παρέμβαση του χρήστη. Η όλη διαδικασία είναι απρόσκοπτη και η νέα έκδοση είναι διαθέσιμη όταν ο χρήστης επανεκκινήσει την εφαρμογή.
Ο Mozilla Firefox έχει αυτοματοποιημένη διαδικασία ενημέρωσής του, ενώ ο Internet Explorer λαμβάνει την τελευταία ενημέρωση μέσω του Windows Update.
Οι ειδοποιήσεις για κάποια νέα έκδοση του προγράμματος δεν παραδίδονται μέσω του ηλεκτρονικού ταχυδρομείου και τις περισσότερες φορές εμφανίζονται ειδοποιήσεις στο πρόγραμμα. Ως εκ τούτου, πριν οι χρήστες σπέυσουν να κατεβάσουν μια ενημερωμένη έκδοση μέσω συνδέσμου που παρέχεται σε e-mail, το καλύτερο είναι να εξακριβώσουν εάν η νέα ενημέρωση είναι διαθέσιμη για την εν λόγω εφαρμογή.
