Ένα νέο βήμα στην εξέλιξη των ransomware τεκμηριώθηκε από ερευνητές ασφαλείας που ανακάλυψαν ένα δείγμα του κακόβουλου λογισμικού που κρυπτογραφεί τα αρχεία στη μονάδα αποθήκευσης και δημιουργεί μοναδικούς κλώνους του εαυτού του λόγω των πολυμορφικών χαρακτηριστικών του.
Η νέα απειλή έχει ονομαστεί VirRansom και VirLock από τους ερευνητές της Sophos και τις ESET, αντίστοιχα. Το συγκεκριμένο crypto-malware σε αντίθεση με άλλα του είδους του επιτρέπει την αποκρυπτογράφηση των αρχείων, αλλά αυτό δεν θα σταματήσει το κλείδωμα της οθόνης του υπολογιστή του θύματος. Με αυτό τον τρόπο αναγκάζει το θύμα να πληρώσει.
Μόλις το Ransomware τρέξει στον υπολογιστή του θύματος ενσωματώνεται σε ένα φορητό εκτελέσιμο Portable Executable (PE) και πρόσθετει την επέκταση EXE.
Αξίζει να σημειωθεί ότι το malware ανακατώνει τα αρχεία που επηρεάζει, αλλά και τα αποκρυπτογραφεί κατά την εκτέλεση του.
Από τη στιγμή που ο χρήστης τρέξει το μολυσμένο αρχείο, ο ιός αυτόματα αρχίζει να εξαπλώνεται στο σύστημα. Οι ερευνητές της ESET αναφέρουν ότι σε δύο περιπτώσεις προσγειώθηκε στο “%userprofile%” και στο “% AllUsersProfile%”.
Σύμφωνα με την ανάλυση των ερευνητών, το VirLock μπορεί να μολύνει έγγραφα (DOC, XLS, PDF, PPT), εικόνες (PNG, GIF, BMP, PSD, JPG), αρχεία ήχου (MP3), αρχεία βίντεο (MPG), αλλά και συμπιεσμένα αρχεία (RAR, ZIP).
Φαίνεται ότι αυτή τη στιγμή υπάρχουν τουλάχιστον έξι παραλλαγές του κακόβουλου λογισμικού που κυκλοφορούν στο διαδίκτυο.
Αν το malware VirLock/Ransom δεν κρυπτογραφήσει τα αρχεία του θύματος έτσι όπως το κάνουν τα άλλα crypto-malware κλειδώνει την οθόνη του υπολογιστή για να επιτύχει το στόχο του.
Όταν ο υπολογιστής είναι σε κατάσταση κλειδώματος, το κακόβουλο λογισμικό απενεργοποιεί το explorer.exe, εμποδίζει το άνοιγμα της Διαχείρισης εργασιών αλλά και άλλες διαδικασίες που θα μπορούσαν να βοηθήσουν στην παράκαμψη του, αναφέρουν οι της ESET.
Το μήνυμα για τα λύτρα απειλεί κλασικά με νομικές συνέπειες, για κάποιες υποτιθέμενες παραβιάσεις πνευματικών δικαιωμάτων,και ζητάει 216€ σε bitcoins.
Η ESET ανέπτυξε ένα αυτόνομο καθαριστικό για τη συγκεκριμένη απειλή, ενώ η Sophos παρέχει επίσης ένα δωρεάν εργαλείο που έχει σχεδιαστεί για τον ίδιο λόγο.