Banii sau datele – o nouă formă de ransomware se răspândeşte prin mesaje email

Autori: Aurelian Mihai, Liviu - Andrei Mihai 28.01.2015
Banii sau datele – o nouă formă de ransomware se răspândeşte prin mesaje email

Varianta online a jafurilor cu luare de ostateci, atacurile cu malware din categoria ransomware au luat amploare în ultima perioadă. Ghinioniştii care s-au ales cu PC-urile infectate sunt puşi în situaţia de a plăti sume importante în conturile unor infractori, în speranţa de a recupera documente preţioase sau albumele cu poze de familie sechestrate pe hard disk în spatele unui algoritm de criptare a cărui cheie se află în posesia acestora.

Banii sau datele - mesajul de răscumpărare

Nou apărut şi foarte periculos, Trojan.DownLoad3.35539 este răspândit prin mesaje email ca ataşament în arhivă ZIP. Potrivit experţilor companiei de securitate Dr. Web, ˝arhiva conţine un fişier executabil cu extensie SCR. Dacă fişierul este deschis, programul infectat extrage pe hard disk un document RTF pe care îl afişează pe ecran˝. Între timp, în fundal este descărcat programul de criptare de pe un server aflat sub controlul atacatorilor. Odată decomprimat şi pornit, acesta  trece la scanarea dispozitivelor de stocare în căutarea documentelor personale ale utilizatorului, pe care le sechestrează înlocuind originalul cu versiuni criptate. Odată ce misiunea a fost îndeplinită, utilizatorul este întâmpinat cu un mesaj solicitând plata unei taxe de răscumpărare.

Pentru a amplifica senzaţia de panică şi forţa un răspuns impulsiv, programul impune un ultimatum de 100 ore pentru efectuarea plăţii, ameninţând cu distrugerea cheii pentru decriptare, în lipsa căreia fişierele lăsate pe hard disk nu mai pot fi recuperate.

Valoarea exactă a sumei ce trebuie plătită nu este menţionată în mesajul de răscumpărare, utilizatorii fiind în schimb instruiţi să viziteze un site găzduit în reţeaua TOR pentru a afla de acolo suma cerută pentru răscumpărare. Trojan.Encoder.686 a fost compilat folosind librării TOR şi OpenSSL, tehnicile de criptare folosite făcând practic imposibilă recuperarea datelor prin alte mijloace.