Η ερευνητική ομάδα ασφάλειας Τalos Security Intelligence and Research Group της εταιρείας Cisco εντόπισε μια εκστρατεία Ransomware που στοχεύει τα Windows 10, δύο μόλις ημέρες μετά την επίσημη κυκλοφορία του νέου λειτουργικού της Microsoft.
Όπως συμβαίνει με τις περισσότερες καμπάνιες Ransomware, οι επιτιθέμενοι καταφεύγουν σε διάφορα τεχνάσματα και συχνά εκμεταλλεύονται γεγονότα της επικαιρότητας, προκειμένου να εξωθήσουν τους χρήστες να κατεβάσουν κακόβουλα αρχεία στους υπολογιστές τους.
Μέσα σε δύο ημέρες, τα Windows 10 έχουν ήδη εγκατασταθεί σε περισσότερους από 67 εκατομμύρια υπολογιστές, ενώ τα συνολικά installations αναμένεται να εκτοξευτούν στο προσεχές μέλλον σύμφωνα με εκτιμήσεις της εταιρείας. Το γεγονός αυτό κάνει τα Windows 10 κυρίαρχο θέμα για τις εκστρατείες Ransomware, με την ομάδα Talos της Cisco να έχει ήδη εντοπίσει μια από αυτές:
Χρησιμοποιώντας μια διεύθυνση IP που έχει εκχωρηθεί στην Ταϊλάνδη, οι επιτιθέμενοι διανέμουν ειδικά διαμορφωμένα μηνύματα ηλεκτρονικού ταχυδρομείου σε ανυποψίαστους χρήστες, παρακινώντας τους να εγκαταστήσουν το νέο λειτουργικό της Microsoft.
Τα μηνύματα αυτά περιέχουν ένα συνημμένο αρχείο ZIP, το οποίο περιλαμβάνει ένα εκτελέσιμο αρχείο που οδηγεί σε εγκατάσταση του γνωστού Ransomware, CTB-Locker.
Eάν το antivirus των χρηστών δεν ανιχνεύσει το κακόβουλο λογισμικό, τότε κλειδώνονται έξω από τους υπολογιστές τους και εμφανίζεται το ακόλουθο μήνυμα:
Σύμφωνα με την ομάδα της Cisco, “το Ransomware χρησιμοποιεί ασύμμετρη κρυπτογράφηση που επιτρέπει στους επιτιθέμενους να κρυπτογραφήσουν τα αρχεία του χρήστη, χωρίς να απαιτείται η ύπαρξη του κλειδιού αποκρυπτογράφησης στο μολυσμένο σύστημα.”
Οι χρήστες έχουν μόνο τέσσερις ημέρες για να πληρώσουν τα ζητούμενα «λύτρα», για την αποκρυπτογράφηση των αρχείων τους, ένα πολύ μικρότερο χρονικό περιθώριο σε σύγκριση άλλες σύγχρονες καμπάνιες ransomware.
Επιπλέον μέσω της χρήσης του δικτύου ανωνυμίας Tor, αλλά και μέσω της χρήσης ψηφιακών νομισμάτων για την καταβολή των λύτρων, οι εισβολείς είναι σε θέση να διατηρήσουν την ανωνυμία τους και να επωφεληθούν γρήγορα από τις καμπάνιες ransomware με ελάχιστο κίνδυνο.”
Η ομάδα της Cisco συνιστά στους χρήστες να δημιουργούν αντίγραφα ασφαλείας των υπολογιστών τους σε τακτική βάση, τα οποία και θα πρέπει να αποθηκεύουν offline.