ΑρχικήsecurityΤο FTCode PowerShell Ransomware εμφανίζεται ξανά σε νέα spam εκστρατεία

Το FTCode PowerShell Ransomware εμφανίζεται ξανά σε νέα spam εκστρατεία

FTCode Ερευνητές ανακάλυψαν μια νέα spam εκστρατεία, η οποία στοχεύει Ιταλούς χρήστες και χρησιμοποιεί ένα παλιό PowerShell ransomware. Εδώ και λίγες μέρες γίνεται λόγος για ένα νέο ransomware με το όνομα FTCode, που διανεμήθηκε μέσω spam emails.

Ωστόσο, σύμφωνα με την εταιρεία Certego, το FTCode είναι ίδιο με το λογισμικό που είχε ανακαλύψει η Sophos το 2013.

“Μπορεί το όνομα να φαίνεται καινούριο, αλλά η πρώτη εμφάνιση αυτής της απειλής ήταν το 2013 και είχε ανακαλυφθεί από τη Sophos. Έπειτα, για περίπου 6 χρόνια, δεν είχε παρατηρηθεί τίποτα”.

Οι ερευνητές της Certego πιστεύουν ότι το ransomware μπορεί να μην είχε τόση επιτυχία το 2013, επειδή τα PowerShell προγράμματα δεν ήταν τόσο δημοφιλή όσο σήμερα. Έτσι οι hackers έπρεπε να χρησιμοποιήσουν άλλους τύπους κακόβουλου λογισμικού.

Διανομή του FTCode μέσω spam εκστρατείας

Οι ερευνητές ανακάλυψαν ότι το ransomware εξαπλωνόταν μέσω spam emails, που περιείχαν κακόβουλα αρχεία Word. Στόχος ήταν Ιταλοί χρήστες.

Σύμφωνα με τον ερευνητή JamesWT, τα κακόβουλα αρχεία ήταν ποικίλου περιεχομένου. Πότε εμφανίζονταν ως τιμολόγια, πότε ως άλλα έγγραφα και πότε ως αίτηση για μια θέση εργασίας.

Ένα παράδειγμα ενός τέτοιου email είναι το εξής:

FTCode

Εάν οι χρήστες ανοίξουν το συνημμένο, θα δουν ένα έγγραφο του Word που ζητά ενεργοποίηση περιεχομένου, προκειμένου να συνεχίσει η διαδικασία.

Αν γίνει η ενεργοποίηση, η διαδικασία συνεχίζει ως εξής: ξεκινούν κακόβουλες μακροεντολές που εκτελούν μια εντολή PowerShell. Αυτή μεταφορτώνει και εγκαθιστά το JasperLoader malware downloader και στη συνέχεια κρυπτογραφεί τον υπολογιστή.

FTCode

Οι ερευνητές διαπίστωσαν ότι το πρώτο malware που χρησιμοποιείται, είναι το JasperLoader downloader. Αυτό χρησιμοποιείται για τη λήψη και την εγκατάσταση άλλων κακόβουλων προγραμμάτων.

Στη συνέχεια, το κακόβουλο script θα εκτελέσει διάφορες εντολές για να διαγράψει τα Shadow Volume Copies και τα αντίγραφα ασφαλείας των Windows.

Αφού γίνουν αυτές οι διαδικασίες, το script αρχίζει να κρυπτογραφεί τα αρχεία του θύματος.

Μετά την κρυπτογράφηση, τα θύματα θα βλέπουν την επέκταση .FTCODE στα κρυπτογραφημένα αρχεία.

Στη συνέχεια, οι διαχειριστές του ransomware προσθέτουν σε κάθε φάκελο ένα σημείωμα (READ_ME_NOW.htm), μέσω του οποίου ζητούν λύτρα.

Στο παρακάτω σημείωμα περιέχεται ένα link που οδηγεί σε ένα site πληρωμών Tor. Εκεί περιέχονται οδηγίες για τον τρόπο αγοράς ενός εργαλείου αποκρυπτογράφησης αρχείων, το οποίο κοστίζει $ 500 USD.

Αν τα θύματα επισκεπτούν το site πληρωμών, θα λάβουν μια διεύθυνση bitcoin και το ποσό που πρέπει να πληρώσουν για να ανακτήσουν τα αρχεία τους.

FTCode

Absenta Mia
Absenta Miahttps://www.secnews.gr
Being your self, in a world that constantly tries to change you, is your greater achievement

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS