Ένα νέο Ransomware, που ανακαλύφθηκε από την Trend Micro και ονομάζεται Dharma, κρυπτογραφεί τα αρχεία των θυμάτων του, εγκαθιστώντας αρχικά ένα πρόγραμμα προστασίας από ιούς (antivirus).
Το Dharma, που αποτελεί στέλεχος ενός άλλου επικίνδυνου malware, γνωστό ως Crysis, κρυπτογραφεί τα αρχεία χρηστών χρησιμοποιώντας Asymmetric Cryptography, μια μέθοδο κατά την οποία τα bits που υπάρχουν στο αρχείο είναι κρυπτογραφημένα.
Το Dharma Ransomware χρησιμοποιεί αληθινό Antivirus για κακόβουλες επιθέσεις
Η τελευταία απόπειρα του Dharma Ransomware είναι να παραπλανήσει το χρήστη, στέλνοντας ένα e-mail με τίτλο ‘MSC-ALERT-IMPORTANT!’. Το μήνυμα περιέχει μια προειδοποίηση, που υποκινεί τον χρήστη να κάνει κλικ και να κατεβάσει μια παλαιότερη έκδοση του ESET Antivirus.
Το μήνυμα ηλεκτρονικού ταχυδρομείου προτρέπει τον χρήστη να κατεβάσει και να επαληθεύσει το antivirus χρησιμοποιώντας έναν συνημμένο κωδικό πρόσβασης. Το αρχείο λήψης είναι ένα self-extracting, με το όνομα Defender.exe. Περιέχει δύο αρχεία και το antivirus software installer.
Τα δύο κακόβουλα αρχεία είναι τα taskhost.exe και Defender_nt32_enu.exe. Το πρώτο αρχείο ενεργοποιεί το ίδιο το Dharma Ransomware ως RANSOM.WIN32.DHARMA.THDAAAI.
Το Ransomware προσπαθεί να κρατήσει τους χρήστες απασχολημένους με εγκαταστάσεις προγραμμάτων προστασίας από ιούς, καθώς κρυπτογραφεί αρχεία στο παρασκήνιο. Το πρόγραμμα εγκατάστασης ESET Antivirus, είναι απόλυτα πραγματικό και λειτουργεί πολύ καλά.
Επιπλέον, η διαδικασία εγκατάστασης του ESET antivirus σε καμία περίπτωση δεν σχετίζεται με το Dharma Ransomware. Πρέπει να σημειωθεί ότι η κρυπτογράφηση των αρχείων λόγω επιθέσεων ransomware και η εγκατάσταση του antivirus συμβαίνει χωριστά.
Πως λειτουργεί το Dharma ransomware;
- Ο χρήστης λαμβάνει ένα email με τίτλο MSC-ALERT-IMPORTANT
- Το μήνυμα ηλεκτρονικού ταχυδρομείου προτρέπει τον χρήστη να κάνει κλικ και να κατεβάσει το antivirus στο οποίο έχει επισυνάψει το Dharma.
- Ο χρήστης ανοίγει ένα αρχείο που προστατεύεται με κωδικό πρόσβασης χρησιμοποιώντας τον συνημμένο κωδικό πρόσβασης στο μήνυμα ηλεκτρονικού ταχυδρομείου
- Το παράθυρο εγκατάστασης του ESET antivirus φαίνεται να ενεργοποιεί το Defender.exe
- Το αρχείο Defender.exe εγκαθιστά τα Taskhost.exe και Defender_nt32_enu.exe
- Το Taskhost.exe είναι το ransomware Dharma που παρουσιάζεται ως RANSOM.WIN32.DHARMA.THDAAAI
- Κρυπτογραφεί το αρχείο ενώ η εγκατάσταση του aνtivirus συνεχίζεται στο παρασκήνιο
Τρέχουσα κατάσταση των επιθέσεων Ransomware
Κατά τους τελευταίους μήνες, παρατηρήθηκε μία μεταβολή στις επιθέσεις ransomware. Οι hackers έχουν αλλάξει την τακτική τους και τώρα καλύπτουν τα ransomware τους ως χρήσιμα εργαλεία για να εξαπατήσουν τους χρήστες.
Για παράδειγμα, το ransomware που ονομάζεται VxCrypt βελτιώνει την απόδοση του υπολογιστή ενός χρήστη ενώ κρυπτογραφεί τα αρχεία του. Μερικοί hackers συνδέουν το κακόβουλο λογισμικό με αρχεία torrent δημοφιλών τηλεοπτικών εκπομπών όπως το Game of Thrones.
Παρόλο που το Ransomware αλλάζει, τα βασικά του βήματα παραμένουν τα ίδια – εξαπατώντας τους χρήστες να κατεβάζουν κακόβουλα αρχεία.
Πώς να το αποφύγετε;
Οι χρήστες μπορούν να προστατεύσουν τον εαυτό τους ακολουθώντας τα χρυσά βήματα της τακτικής δημιουργίας αντιγράφων ασφαλείας των αρχείων τους, περιορίζοντας την πρόσβαση admin και διατηρώντας τα συστήματά τους ενημερωμένα. Ωστόσο, οι περισσότεροι χρήστες μπορούν να ξεκινήσουν αλλάζοντας τον κωδικό πρόσβασης.
