ΑρχικήinetSymantec: Ransomcrypt Μια απειλή σε ευημερία

Symantec: Ransomcrypt Μια απειλή σε ευημερία

Ενώ τα Ransomlock Trojans έχουν εξαπλωθεί αρκετά τα τελευταία χρόνια, βλέπουμε ότι οι κυβερνοεγκληματίες αρχίζουν να χρησιμοποιούν ολο και πιο πολύ τα Ransomcrypt Trojans. Η διαφορά μεταξύ των Ransomlock και των Ransomcrypt Trojans είναι ότι τα Ransomlock κλειδώσουν την επιφάνεια εργασίας των υπολογιστών, ενώ τα Ransomcrypt κρυπτογραφούν μεμονωμένα αρχεία. Και οι δύο απειλές εκβιάζουν και αποζητούν λύτρα από τα θύματα τους.

Πρόσφατα, εντοπίστηκαν από την Symantec τα Trojan.Ransomcrypt.F (ή αλλιώς και Cryptolocker). Τα Trojan.Ransomcrypt.F κρυπτογραφούν αρχεία, όπως εικόνες και έγγραφα του Microsoft Office και στη συνέχεια απαιτούν λύτρα με Bitcoin ή MoneyPak για να τα αποκρυπτογραφήσουν. Το Trojan Ransomcrypt χρησιμοποιεί ισχυρούς αλγόριθμους κρυπτογράφησης που καθιστούν σχεδόν αδύνατη την αποκρυπτογράφηση των αρχείων χωρίς το κλειδί κρυπτογράφησης.

Fig1_4

Σχήμα 1. Trojan.Ransomcrypt.F οθόνη πληρωμής

Τα περισσότερα από τα Trojan.Ransomlock.F που παρατηρήθηκαν από τη Symantec βρέθηκαν στη Βόρεια Αμερική.

Fig2_2

Σχήμα 2. Trojan.Ransomlock.F χάρτης λοιμώξεων

Τα κακόβουλα αρχεία έρχονται με ένα email που περιέχει ένα συνημμένο κακόβουλο αρχείο το Trojan.Zbot, το οποίο στη συνέχεια εγκαθιστά το Trojan.Ransomlock.F. Το Trojan Ransomcrypt χρησιμοποιεί ένα domain generation algorithm (DGA) για να βρει και να συνδεθεί με τον διακομιστή διοίκησης και ελέγχου (C&C).

Fig3_2

Σχήμα 3. Ransomcrypt αιτήματα DNS

Οι προγραμματιστές malware χρησιμοποιούν DGAS δώσουν στο κακόβουλο λογισμικό τους την δυνατότητα χρησιμοποίησης πολύ λίγων στατικών εξυπηρετητών. Όμως κακόβουλο λογισμικό, όπως το Trojan.Ransomcrypt.F χρησιμοποιεί δυναμικά domain names με βάση κάποια κριτήρια. Αυτό καθιστά ακόμη πιο δύσκολο να μπλοκαριστεί σύνδεση του με τους διακομιστές διοίκησης.

Fig5_0

Σχήμα 4. Trojan.Zbot

Όταν συγκρίνουμε το Trojan.Zbot και το Trojan.Ransomcrypt.F βλέπουμε ομοιότητες στον κώδικα που μας οδηγούν στο συμπέρασμα ότι μπορεί να υπάρχει μια σύνδεση μεταξύ των δύο Trojans. Ο πηγαίος κώδικας του Zbot είναι ελεύθερα διαθέσιμος στο Διαδίκτυο.

SecNews
SecNewshttps://secnews.gr
In a world without fences and walls, who need Gates and Windows
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS