ΑρχικήsecurityΙσχυρό Ransomware με δυνατότητα κρυπτογράφησης που λειτουργεί offline

Ισχυρό Ransomware με δυνατότητα κρυπτογράφησης που λειτουργεί offline

Eρευνητές ασφαλείας βρήκαν μια οικογένεια ransomware που μπορεί να κρυπτογραφήσει με ασφάλεια αρχεία, ακόμη κι αν το θύμα δεν διαθέτει σύνδεση στο Διαδίκτυο.

ransomware

Παλαιότερα, το ransοmware μπλόκαρε την πρόσβαση στην οθόνη ενός υπολογιστή δείχνοντας ένα μήνυμα σε πλήρη οθόνη, που ήταν δύσκολο να αφαιρεθεί. Το πρώτο στάδιο της εξέλιξης ήταν όταν το ransοmware ξεκίνησε να κρυπτογραφεί τα αρχεία του χρήστη, αλλά αυτός ο τύπος ransοmware δεν ήταν αποτελεσματικός, επειδή έπρεπε να αποθηκεύει το κλειδί κρυπτογράφησης κάπου στον υπολογιστή. Ωστόσο, οι εταιρείες Antivirus απλώς εξέταζαν τα κλειδιά κρυπτογράφησης και στη συνέχεια, παρείχαν ransοmware εργαλεία αφαίρεσης.

Αυτό έχει αλλάξει τα τελευταία χρόνια, όταν οι φορείς ransοmware άρχισαν να χρησιμοποιούν τις συνδέσεις στο Internet για να κρυπτογραφήσουν το αρχείο του χρήστη και στη συνέχεια να στέλνουν το κλειδί κρυπτογράφησης σε έναν από τους C&C servers τους. Αν ο χρήστης επιθυμούσε και πάλι πρόσβαση στα αρχεία του, έπρεπε να πληρώσει τα λύτρα.

Τώρα, ερευνητές του Check Point αναφέρουν μια νέα ransοmware οικογένεια, που καταφέρνει να κρυπτογραφήσει αρχεία χωρίς να αποθηκεύει ολόκληρο το κλειδί αποκρυπτογράφησης τοπικά, παρά την έλλειψη σύνδεσης στο Internet.

Το ransοmware το κάνει αυτό δημιουργώντας ένα τοπικό RSA δημόσιο κλειδί, το οποίο χρησιμοποιεί για να κρυπτογραφήσει τα αρχεία και στη συνέχεια αποθηκεύει στα μεταδεδομένα του κάθε αρχείου. Όταν ένα θύμα θέλει τα δεδομένα του αποκρυπτογραφημένα, μπορεί να επικοινωνήσει με τους φορείς του ransomware μέσω ηλεκτρονικού ταχυδρομείου (προσθέτοντας το όνομα του κάθε αρχείου) και να στείλει ένα από τα κρυπτογραφημένα αρχεία ως συνημμένο.

Ο χειριστής του ransomware κοιτάζει τα μεταδεδομένα του αρχείου, εξάγει το RSA δημόσιο κλειδί που δημιουργείται από την πλευρά του χρήστη και το ταιριάζει με τη δική του βάση  ιδιωτικού κλειδιού RSA.

Το προσωπικό του Check Point δήλωσε ότι δεν ήταν εφικτή μια επίθεση  brute force στην κρυπτογράφηση ransomware, καθώς θα μπορούσε να πάρει έως και 2 χρόνια.

Όπως λένε οι ερευνητές, αυτή είναι μία από εκείνες τις περιπτώσεις για τις οποίες μιλούσε το FBI, όταν είπε ότι είναι μερικές φορές καλύτερο να πληρώσεις τα λύτρα.

Για τη συγκεκριμένη οικογένεια ransοmware, τα λύτρα είναι 20.000 ρώσικα ρούβλια ($ 300). Ναι, η διαίσθησή σας είναι σωστή: το ransomware δημιουργήθηκε από Ρώσους χάκερ.

Μετά από περαιτέρω έρευνα σε αυτό το θέμα, το προσωπικό της Check Point, κατάφερε να ανακαλύψει τα ίχνη του συγκεκριμένου ransοmware που χρονολογείται από τον Ιούνιο του 2014. Εταιρείες Antivirus το έχουν προηγουμένως εντοπίσει με διαφορετικά ονόματα:

Win32.VBKryjetor.wfa (Kaspersky)

Ransomcrypt.U (Symantec)

Ninja Ransοmware (Enigma Software)

Troj / Agent-AOTR (Sophos)

Troj / Drop-HQ (Sophos)

Troj / Ransom-ΑΖΤ (Sophos)

Troj / Ransom-BGX (Sophos)

Troj / Ransom-BJQ (Sophos)

Troj / Ransom-BJV (Sophos)

Troj / Agent-ANBL (Sophos)

Troj / Ruftar-H (Sophos)

Troj / VB-IHK (Sophos)

Mal / Delp-AI (Sophos)

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS