Το Ransomware Surprise χρησιμοποιεί το TeamViewer

Μια νέα οικογένεια ransomware ανακαλύφθηκε τις τελευταίες εβδομάδες, το οποίο μολύνει τους υπολογιστές μέσω του προτος TeamViewer και στη συνέχεια κρυπτογραφεί όλα τα δεδομένα, προσθέτοντας τη επέκταση “.surprise” σε όλα τα αρχεία.

ransomwaren surprise

Τα πρώτα σημάδια της νέας αυτής ransomware ς εντοπίστηκαν στο φόρουμ , ένα κοινό ιστότοπο στην Αγγλική γλώσσα, όπου συνήθως απευθύνονται χρήστες που ζητάνε βοήθεια.

Όσοι έχουν πέσει θύματα της μόλυνσης έχουν ανακαλύψει με έκπληξη ότι τα αρχεία τους είναι κρυπτογραφημένα και απροσπέλαστα και ότι υπάρχουν τρία νέα επιπλέον αρχεία στους επιτραπέζιους υπολογιστές τους. Αυτά τα νέα αρχεία περιέχουν μηνύματα που ζητάνε λύτρα, και ενημερώνουν το χρήστη ότι τα αρχεία του είναι πλέον κρυπτογραφημένα, και για να τα πάρει πίσω θα πρέπει να επικοινωνήσει με τον προγραμματιστή του ransomware μέσω δύο διευθύνσεων ηλεκτρονικού ταχυδρομείου, τα nowayout@protonmail.com και nowayout@sigaint.org.

Οι εγκληματίες ζητούν 0,5 Bitcoin (~ $200) αλλά αναφέρουν ότι, ανάλογα με το περιεχόμενο των κρυπτογραφημένων αρχείων του χρήστη, τα λύτρα μπορούν πολύ εύκολα να ανέλθουν σε 25 Bitcoin (~ $10,000), αν χρειαστεί.

Τεχνικά, το συγκεκριμένο ransomware δεν ήταν κάτι το ιδιαίτερο σε σχέση με τα ομοιειδή προγράμματα που έπληξαν πρόσφατα το διαδίκτυο. Το λεγόμενο Surprise ransomware χρησιμοποιεί έναν αλγόριθμο AES-256 για να κρυπτογραφήσει τα αρχεία, και στη συνέχεια, ένα RSA-2048 για να εξασφαλίσει τα κλειδιά κρυπτογράφησης κάθε αρχείου με ένα κύριο κλειδί το οποίο φορτώνεται σε ένα C&C εξυπηρετητή.

To ransomware στοχεύει σε 474 διαφορετικές αρχείων και χρησιμοποιεί αρχεία δέσμης για να κάνει αντίγραφο του σκληρού δίσκου, καθιστώντας τη αυτόματης ς αδύνατη, εκτός εάν ο χρήστης αποθηκεύει τα ίδια αρχεία σε έναν εξωτερικό δίσκο ως αντίγραφο ασφαλείας.

Αλλά αυτό που παρατηρήθηκε καθώς όλο και περισσότερος κόσμος μολυνόταν, ήταν ότι στην εν λόγω μόλυνση υπήρχε ένα μοτίβο. Σχεδόν όλες οι λοιμώξεις εμφανίστηκαν σε υπολογιστές που είχαν εγκαταστασεί το TeamViewer, μια εφαρμογή των που μπορεί να χρησιμοποιηθεί για να δημιουργήσει μια σύνδεση μεταξύ δύο υπολογιστών και επιτρέπει σε ένα χρήστη να ελέγχει απομακρυσμένα ένα υπολογιστή.

Το πρόγραμμα TeamViewer συνήθως χρησιμοποιείται σε κέντρα υποστήριξης και είναι ευρέως διαδεδομένο μεταξύ των απλών χρηστών γιατί στην μη εμπορική χρήση του είναι εντελώς δωρεάν.

Τα θύματα του ransomware surprise παρατήρησαν ότι όλοι είχαν εγκατεστημένο το TeamViewer. Αναζήτησαν τις κίνησεις στα αρχεία καταγραφής του TeamViewer και ανακάλυψαν ότι κάποιος με πρόσβαση στον υπολογιστή τους μέσω αυτού, είχε κατεβάσει το αρχείο suprise.exe (το εκτελέσιμο αρχείο με την μόλυνση), και στη συνέχεια το είχε εκτελέσει στον υπολογιστή τους.

surpriseran

Επί του παρόντος, δεν υπάρχουν λεπτομέρειες σχετικά με το πώς ήταν προσβάσιμοι αυτοί οι υπολογιστές μέσω TeamViewer, αλλά υπάρχουν δύο πιθανές εξηγήσεις. Η μία είναι η παρουσία ενός στο TeamViewer που οι απατεώνες χρησιμοποίησαν για να ανοίξουν τις συνδέσεις και να τοποθετήσουν το ransomware τους.

Αυτό το σενάριο είναι λίγο παρατραβηγμένο, κυρίως επειδή τα zero-day τα απαιτούν πολλή επιδεξιότητα και ιδιαίτερες τεχνικές γνώσεις. Όσοι χρησιμοποιούν τα απλοϊκά backdoored ransomware σίγουρα δεν έχουν τα προσόντα να δουλέψουν με zero-day.

Η δεύτερη εξήγηση είναι ότι ο εισβολέας σαρώνει το διαδίκτυο για τις προσβάσιμες εγκαταστάσεις TeamViewer και στη συνέχεια χρησιμοποιεί μία σειρά από κωδικούς πρόσβασης ελπίζοντας στην τύχη του αλλά και στην ασχετοσύνη του θύματος να έχει ένα τετραψήφιο κωδικό τύπου 1234.

iGuRu.gr The Best Technology Site in Greecefgns

κάθε δημοσίευση, άμεσα στο inbox σας

Προστεθείτε στους 2.100 εγγεγραμμένους.

Written by Δημήτρης

O Δημήτρης μισεί τις Δευτέρες.....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).