Μια νέα παραλλαγή ransomware με το όνομα BitCrypt που κρυπτογραφεί αρχεία και ζητά από τα θύματα του λύτρα σε bitcoin εμφανίστηκε στο διαδίκτυο.
Το BitCrypt είναι μέρος μιας αναπτυσσόμενης κατηγορίας κακόβουλων προγραμμάτων γνωστά στο κοινό σαν ransomware που επιχειρούν να αποσπάσουν χρήματα από τα θύματά τους κλειδώνοντας τα αρχεία τους ή τους υπολογιστές τους.
Μία από τις πρώτες παραλλαγές του BitCrypt εμφανίστηκε το Φεβρουάριο και είναι εμπνευσμένο από την επιτυχία ενός παρόμοιου προγράμματος που ονομάζεται Cryptolocker. Το Cryptolocker έχει μολύνει πάνω από 250.000 υπολογιστές στους τρεις τελευταίους μήνες του 2013 και μόνο.
Όπως ακριβώς το Cryptolocker, μόλις εγκατασταθεί σε ένα σύστημα, το BitCrypt κρυπτογραφεί αρκετά αρχεία, έγγραφα και φωτογραφίες, εφαρμογές και αρχεία βάσης δεδομένων. Τα θύματα του κινδυνεύουν να χάσουν την πρόσβαση στα προσωπικά τους αρχεία ή σε οτιδήποτε άλλο έχουν στον υπολογιστή τους αν δεν έχουν κρατήσει αντίγραφα ασφαλείας.
Ενώ η πρώτη παραλλαγή του BitCrypt χρησιμοποιούσε μια σχετικά ισχυρή κρυπτογράφηση RSA- 1024, ερευνητές ασφαλείας από την Airbus Defence and Space διαπίστωσαν σοβαρές ελλείψεις στην κακόβουλη εφαρμογή που τους επέτρεψε να δημιουργήσουν ένα πρόγραμμα αποκρυπτογράφησης των μολυσμένων αρχείων.
Ωστόσο, σύμφωνα με τους ερευνητές ασφαλείας της Trend Micro, εμφανίστηκε μια βελτιωμένη έκδοση του malware αυτό το μήνα και πιθανότατα είναι σχεδιασμένο για ευρεία διανομή. Η νέα έκδοση προσθέτει μια bitcrypt2 επέκταση στα κρυπτογραφημένα αρχεία και μπορεί να εμφανίσει το σημείωμα για τα λύτρα που ζητάει σε 10 διαφορετικές γλώσσες: Αγγλικά, Γαλλικά, Γερμανικά, Ρώσικα, Ιταλικά, Ισπανικά, Πορτογαλικά, Ιαπωνικά, Κινέζικα και Αραβικά.
Όταν αυτή η παραλλαγή μολύνει έναν υπολογιστή αλλάζει την φωτογραφία της επιφάνειας εργασίας με μια εικόνα που λέει “Ο υπολογιστής σας έχει μολυνθεί από το BitCrypt v2.0 cryptovirus” και δείχνει στο θύμα ένα αρχείο που ονομάζεται Bitcrypt.txt για πρόσθετες οδηγίες, όπως αναφέρουν οι ερευνητές της Trend Micro.
Το αρχείο κειμένου περιέχει πληροφορίες σχετικά με το πώς μπορούν τα θύματα να αποκτήσουν πρόσβαση σε μια συγκεκριμένη ιστοσελίδα που είναι κρυμμένη στο δίκτυο Tor, προκειμένου να κατεβάσουν ένα ειδικό πρόγραμμα αποκρυπτογράφησης. Η ιστοσελίδα ζητάει από τους χρήστες 0,4 bitcoins – περίπου 230 δολάρια στην τρέχουσα τιμή του κρυπτονομίσματος.
Οι ερευνητές της Trend Micro διαπίστωσαν επίσης ότι η νέα παραλλαγή του BitCrypt διανέμεται από ένα Trojan που ονομάζεται FAREIT και έχει κατασκευαστεί να κλέβει bitcoins.
Το FAREIT με το που εισέλθει σε έναν υπολογιστή, αρχίζει να αναζητεί το wallet.dat (για Bitcoin), το electrum.dat (για Electrum) και αρχεία .wallet (MultiBit), αναφέρουν οι ερευνητές. Αυτά τα αρχεία δημιουργούνται και χρησιμοποιούνται από διαφορετικές εφαρμογές Bitcoin client.
Για να αποφύγετε να πέσετε θύμα ransomware και να αναγκαστείτε να πληρώσετε για την ανάκτηση των αρχείων σας, είναι σημαντικό να δημιουργείτε αντίγραφα ασφαλείας των δεδομένων σας τακτικά. Κατά προτίμηση όχι στον ίδιο υπολογιστή ή μια κοινόχρηστη μονάδα δίσκου του δικτύου, διότι το κακόβουλο λογισμικό θα μπορούσε να επηρεάσει τα εν λόγω αντίγραφα ασφαλείας.