CryptoWall nie daje za wygraną. Nowe zagrożenie szyfruje pliki
2015-11-12 12:16
CryptoWall nie daje za wygraną © Focus Pocus LTD - Fotolia.com
Przeczytaj także: Złośliwe pliki pomocy atakują skrzynki
”CryptoWall Projekt nie jest szkodliwy i nie ma na celu zaszkodzić użytkownikowi i jego danym. W ramach projektu eksperymenty prowadzone są wyłącznie w celu edukowania o bezpieczeństwie informacji, a także sprawdzenia certyfikatów produktów antywirusowych chroniących dane. Razem możemy sprawić, że Internet stanie się lepszym i bezpieczniejszym miejscem.”Tym razem użytkownicy są proszeni o wpłacenie 700 dolarów w walucie Bitcoin. CryptoWall działa od kwietnia 2014 roku w ramach trzech znanych wersji, a co miesiąc wyrządza ponad 1 mln strat, jak określają doniesienia federalne.
Badacze złośliwego oprogramowania firmy Bitdefender przeanalizowali próbki szczepu złośliwego oprogramowania i wykazali wyraźne różnice pomiędzy CryptoWall 4.0 i jego poprzednikami.
Podobnie jak poprzednie wersje, CryptoWall używa tych samych metod do rozprzestrzeniania się za pomocą zainfekowanych wiadomości e-mail.
fot. mat. prasowe
Wiadomość e-mail zainfekowana CryptoWall
Szkodnik wyświetla przeprojektowaną wiadomość o okupie i nowe nazwy plików, ale najbardziej zauważalną zmianą jest to, że CryptoWall szyfruje i zmienia nazwy plików wraz z jego danymi. Każdy zaszyfrowany plik ma nazwę składającą się z przypadkowych liter i cyfr. To sprawia, że rozpoznanie plików, ku frustracji użytkowników jest prawie niemożliwe.
Po zainstalowaniu szyfruje pliki i wyświetla żądanie okupu w trzech formatach: HTML, TXT i PNG. Przesłanie także zauważalnie różni się od poprzednich wersji – jest mniej alarmujące i zawiera nutę ironii.
Po wstępie o edukacji użytkowników na temat szyfrowania, hakerzy jasno orzekają, że są jedynymi właścicielami programu do deszyfracji plików użytkownika. Oznajmiają również, że „wszelkie próby przywracania plików narzędziami firm trzecich mogą okazać się śmiertelne dla zaszyfrowanych plików. Pliki mogą zostać tak uszkodzone, że nigdy nie będą ponownie kompletne.”
fot. mat. prasowe
Dokumenty przed zainfekowaniem CryptoWall 4.0
fot. mat. prasowe
Dokumenty po zainfekowaniu CryptoWall 4.0
Aby zachować anonimowość ransomware prosi użytkowników o opłacenie okupu poprzez sieć Tor. Napastnicy ostrzegają również użytkowników, że to rozwiązania antywirusowe są winne, jeśli wykryją i usuną wirusa razem z instrukcją. W tym przypadku przedstawiają plan B – kolejny zestaw instrukcji jak zainstalować na swoim komputerze sieć Tor.
Komunikat zaleca także opłacenie okupu w ciągu 2-3 dni, w związku z możliwością dezaktualizacji linków. CryptoWall 4.0 w dalszym ciągu korzysta z tej samej witryny deszyfrującej, jak w poprzednich wersjach. Z tej strony ofiara może dokonywać płatności, sprawdzić jej stan, rozpocząć deszyfrowanie i stworzyć zapytanie do pomocy technicznej.
Wydaje się, że standardy szyfrowania pozostały takie same – RSA2048 – silny algorytm szyfrowania, który sprawia, ze deszyfrowanie jest niemożliwe.
fot. mat. prasowe
Strona płatności i deszyfrowania
Bitdefender nadal bada to zagrożenie, a szczegóły zostaną ujawnione wkrótce.
oprac. : eGospodarka.pl
Przeczytaj także
Skomentuj artykuł Opcja dostępna dla zalogowanych użytkowników - ZALOGUJ SIĘ / ZAREJESTRUJ SIĘ
Komentarze (0)