Πριν από δύο ημέρες, ο AVG ερευνητής ασφαλείας, Jakub Kroustek, ανακάλυψε μια παραλλαγή ενός ransomware με πραγματικά ένα πρωτότυπο όνομα, Hitler Ransomware (εντάξει στην πραγματικότητα Ransonware -δεν μπορούσα να το αφήσω ασχολίαστο) που διαγράφει τα αρχεία σας.
Η Hitler ransomware μόλυνση συμβαίνει όταν ο χρήστης κάνει διπλό κλικ σε ένα μολυσμένο binary. Σύμφωνα με το Bleeping Computer, το αρχείο εγκαθιστά ένα batch αρχείο στο σύστημα του χρήστη, το οποίο στη συνέχεια εγκαθιστά τρία αρχεία με τα ονόματα firefox32.exe, ErOne.vbs και chrst.exe.
Το Firefox32.exe αντιγράφεται στο φάκελο εκκίνησης για να εξασφαλιστεί η εκκίνηση του ransomware με κάθε εκκίνηση του υπολογιστή. Το ErOne.vbs δείχνει ένα σφάλμα όταν ο χρήστης κάνει κλικ στο αρχικό εκτελέσιμο, κάνοντάς τον πιστεύει ότι το αρχείο περιέχει ένα σφάλμα. Το Chrst.exe είναι το πραγματικό ransomware, το οποίο εμφανίζει το σημείωμα για λύτρα στην οθόνη του χρήστη, ξεκινά τη διαδικασία κρυπτογράφησης και ένα χρονόμετρο αντίστροφης μέτρησης μίας ώρας.
Το Hitler Ransomware θα κρυπτογραφήσει τα αρχεία του χρήστη και, επίσης, θα διαγράψει τις αρχικές τους καταλήξεις. Όταν το χρονόμετρο αντίστροφης μέτρησης φτάσει στο μηδέν, το αρχείο chrst.exe θα αρχίσει να κρασάρει θεαματικά, προκαλώντας μια Windows BSOD (Blue Screen of Death).
Όταν ο υπολογιστής επανακάμψει από την BSOD ή ο χρήστης κάνει επανεκκίνηση του υπολογιστή, θα δει ότι το Hitler Ransomware διέγραψε όλα τα αρχεία στο φάκελο προφίλ του χρήστη.
Ως malware αναλυτής του Bleeping Computer, ο Lawrence Abrams επισημαίνει, βασιζόμενος στα σχόλια του πηγαίου κώδικα που βρέθηκαν στο batch αρχείο, ότι το Hitler ransomware φαίνεται να είναι προϊόν ενός γερμανόφωνου προγραμματιστή.
Αυτή η αντίληψη αυτή ενισχύεται από το γεγονός ότι το Hitler ζητά τα λύτρα σε Ευρώ. Στην πραγματικότητα, το ransomware ζητά τον κωδικό μιας Vodafone κάρτας τηλεφωνίας των € 25.
“Αυτό ransomware φαίνεται να είναι μια παραλλαγή για δοκιμές”, γράφει ο Abrams. “Ελπίζω ότι αυτό δεν πρόκειται για τον πραγματικό κώδικα που ο προγραμματιστής του ransomware σκοπεύει να χρησιμοποιήσει, εάν πάει live.”
Παρακάτω σας παρουσιάζουμε ένα YouTube βίντεο επιδεικνύοντας την ransomware διαδικασία μόλυνσης του Hitler, με την ευγενική χορηγία του Σέρβου ερευνητή ασφάλειας, GrujaRS.
[su_youtube url=”https://youtu.be/7f_2BDXJw8U” width=”640″ height=”380″]https://www.youtube.com/watch?v=B7o0qA4L4So[/su_youtube]
