malware

Malware εκβιάζει ανυποψίαστα θύματα

Malware ζητάει λίτρα για αν επιτρέψει την πρόσβαση σε αρχεία χρηστών, εκβιάζοντας ανυποψίαστα θύματα.
Malware Malware Malware

Η ομάδα ερευνητών της ESET στον Καναδά ανέλυσε ένα ευρέως εξαπλωμένο κακόβουλο λογισμικό ransomware, γνωστό ως TorrentLocker, η εξάπλωση του οποίου άρχισε στις αρχές του 2014 και στόχευε ανυποψίαστα θύματα. Η πιο πρόσφατη παρ του malware έχει μολύνει τουλάχιστον 40.000 συστήματα κατά τους τελευταίους μήνες, στοχεύοντας κυρίως ευρωπαϊκές χώρες. Η ομάδα ερευνητών της ESET έχει ετοιμάσει εκτεταμένη έκθεση, στην οποία παρουσιάζει όλα τα ευρήματατης έρευνας και της ανάλυσης της συμπεριφοράς του malware καθώς και σχετικόblog post στο WeLiveSecurity.com.

Η τηλεμετρία της ESET ανιχνεύει το TorrentLocker ως Win32/Filecoder.Dl. Το όνομά του προέρχεται από το μητρώου που χρησιμοποιούσε το κακόβουλο λογισμικό για να αποθηκεύσει πληροφορίες ρυθμίσεων με το ψεύτικο όνομα «Bit Torrent », όταν ξεκίνησε να εξελίσσεται αυτό το filecoder.

Αυτή η οικογένεια ransomware κρυπτογραφεί έγγραφα, εικόνες και άλλα αρχεία στη συσκευή του χρήστη και απαιτεί λύτρα για να επιτρέψει την πρόσβαση στα αρχεία του. Η τυπική υπογραφή του είναι η πληρωμή λύτρων αποκλειστικά με crypto-currency – μέχρι 4,081 Bitcoin (1.180 ευρώ ή 1.500 δολάρια). Στις τελευταίες εκστρατείες, το TorrentLocker έχει μολύνει 40.000 συστήματα και έχει κρυπτογραφήσει 280 εκατομμύρια έγγραφα στοχεύοντας σε χώρες κυρίως της Ευρώπης, αλλά και σε χρήστες σε Καναδά, Αυστραλία και Νέα Ζηλανδία. Από αυτές τις περιπτώσεις, μόνο 570 θύματα πλήρωσαν τα λύτρα, που απέφεραν στους δράστες πίσω από το TorrentLocker το ποσό των 585.401 αμερικάνικων δολαρίων σε Bitcoin.

Στην έκθεση των ερευνητών της ESET έχουν εξεταστεί και αναλυθεί επτά διαφορετικοί τρόποι εξάπλωσης του TorrentLocker. Σύμφωνα με τα δεδομένα της τηλεμετρίας της ESET, τα πρώτα ίχνη αυτού του malware χρονολογούνται το Φεβρουάριο 2014. Το malware εξελίσσεται διαρκώς, με την πιο προηγμένη του εκδοχή να βρίσκεται σε λειτουργία από τον Αύγουστο 2014.

«Πιστεύουμε ότι οι δράστες πίσω από το TorrentLocker είναι οι ίδιο με εκείνους πίσω από την οικογένεια του banking trojan Hesperbot» δήλωσε ο Marc-Etienne M. Léveillé, ερευνητής της ESET από τον Καναδά. «Επιπλέον, με το TorrentLocker, οι δράστες αντιδρούν στις online εκθέσεις ξεπερνώντας τους Δείκτες Παραβίασης που χρησιμοποιούνται για την ανίχνευση του κακόβουλου λογισμικού και τροποποιώντας τον τρόπο χρήσης των Προτύπων Κρυπτογράφησης AES (Advanced Encryption Standards) από λειτουργία Counter mode (CTR) σε λειτουργία CBC (Cipher block chaining) κατόπιν αποκάλυψης μίας μεθόδου ς των κωδικών». Αυτό σημαίνει ότι τα θύματα του TorrentLocker δεν μπορούν να ανακτήσουν πλέον όλα τα έγγραφα τους συνδυάζοντας ένα κρυπτογραφημένο αρχείο και το απλό του κείμενο για να ανακτήσουν τον κωδικό.

Πώς εξαπλώνεται η μόλυνση; Το θύμα λαμβάνει ένα spam e-mail με κακόβουλο έγγραφο και οδηγείται να ανοίξει το συνημμένο αρχείο, συνήθως επισυνάπτονται απλήρωτα τιμολόγια, ενημερώσεις για παρακολούθηση πακέτων ή απλήρωτες κλήσεις. Η αξιοπιστία του e-mail αυξάνεται καθώς προσομοιάζει σε ιστότοπους επιχειρήσεων ή του κράτους του τόπου του θύματος. Ανοίγοντας το spam μήνυμα, αν το θύμα πατήσει το link που οδηγεί στη σελίδα λήψης ενώ δεν βρίσκεται σε μία από τις χώρες που έχουν δεχτεί την επίθεση, θα ανακατευθυνθεί στη σελίδα ς της Google. «Για να ξεγελάσουν τα θύματα, οι δράστες έχουν εισάγει εικόνες CAPTCHA δημιουργώντας μία ψευδή αίσθηση ασφάλειας», εξηγεί ο Léveillé.

Περισσότερες πληροφορίες σχετικά με το ransomware TorrentLocker είναι διαθέσιμες στο website της ESET με νέα για την ασφάλεια WeLiveSecurity.com. Τα πρώτα στοιχεία για την έρευνα και το malware βρίσκονται στο blog. Η αναλυτική έκθεση βρίσκεται εδώ.

Author information

SecNews

SecNews

SecNews is a specialized website, which gives the opportunity to its visitors to be informed about the latest security news and trends in the IT industry.
SecNews

iGuRu.gr The Best Technology Site in Greeceggns

Get the best viral stories straight into your inbox!















Written by Δημήτρης

O Δημήτρης μισεί τις Δευτέρες.....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).