ΑρχικήsecurityΤο ransomware FTCODE επιτίθεται σε Windows και κρυπτογραφεί αρχεία

Το ransomware FTCODE επιτίθεται σε Windows και κρυπτογραφεί αρχεία

Οι ερευνητές ανακάλυψαν ένα νέο κύμα της εκστρατείας ransomware FTCODE που κλέβει τα login credentials και κρυπτογραφεί αρχεία σε συστήματα Windows.

Το ransomware FTCODE εντοπίστηκε για πρώτη φορά το 2013 και χρησιμοποιεί το πρόγραμμα Windows PowerShell για να κρυπτογραφήσει τα αρχεία.

Το ransomware επανεμφανίστηκε ξανά κάνοντας την αρχή τον περασμένο Σεπτέμβριο και σύμφωνα με την ανάλυση της Certego σχετικά με τα ransomware FTCODE, αναπτύσσεται ακόμη. Οι hackers πίσω από το συγκεκριμένο στέλεχος ransomware χρησιμοποιούν έγγραφα word για να «μοιράσουν» το ransomware. Αν το θύμα ανοίξει τα έγγραφα και απενεργοποιήσει την προστατευμένη προβολή τότε ενεργοποιεί την εκτέλεση της κακόβουλης μακροεντολής.

Αφού εκτελεστεί η μακροεντολή τρέχει μια διαδικασία PowerShell για να κατεβάσει ένα μέρος ενός Powershell κώδικα που είναι FTCODE και αποθηκεύει το αίτημα μόνο στην μνήμη, σε μια προσπάθεια να αποφευχθεί η ανίχνευση antivirus.

FTCODE ransomware

FTCODE Ransomware νέα έκδοση

Οι ερευνητές από τη Zscaler εντόπισαν μια νέα έκδοση του FTCODE ransοmware 1117.1, που περιέχει διάφορες μεθόδους μόλυνσης και δυνατότητες κλοπής κωδικών πρόσβασης.

Το ransomware που διανέμεται μέσω spam email και τα έγγραφα μακροεντολών που περιέχουν links προς VBScripts, τα οποία “κατεβάζουν” το PowerShell script γνωστό ως ransοmware FTCODE.

Για να ξεγελάσουν τους χρήστες, το script αρχικά κατεβάζει ένα decoy έγγραφο και στο παρασκήνιο κατεβάζει και τρέχει το ransomware.

Πριν από την κρυπτογράφηση ελέγχει σε όλες τις μονάδες δίσκου για να δει αν υπάρχει τουλάχιστον 50kb ελεύθερος χώρος, για να δει αν χωράνε οι επεκτάσεις που κρυπτογραφεί.

Μόλις ολοκληρωθεί η κρυπτογράφηση, εμφανίζεται το ransom note “READ_ME_NOW.htm” στον κατάλογο των κρυπτογραφημένων αρχείων.

Το σημείωμα κατευθύνει τα θύματα στο Tor website για να πραγματοποιήσουν την πληρωμή. Το Tor site περιέχει μια διεύθυνση Bitcoin και ζητά από το θύμα να πληρώσει $ 500 για την ανάκτηση των αρχείων.

Μερικοί χρήστες ανέφεραν στο BleepingComputer ότι “κάποιος πλήρωσε τα λύτρα και τελικά δεν αποκρυπτογραφήθηκαν τα αρχεία”.

Κωδικοποιητής κωδικών πρόσβασης

Η νέα έκδοση του ransοmware περιλαμβάνει δυνατότητα κλοπής με κωδικό πρόσβασης, η οποία δεν υπάρχει στις παλαιότερες εκδόσεις.

Κλέβει τα login credentials από τους browsers και email clients:

  • Internet Explorer
  • Mozilla Firefox
  • Mozilla Thunderbird
  • Google Chrome
  • Microsoft Outlook

Το FTCODE Ransomware εξελίσσεται, και σε σύντομο χρονικό διάστημα, εντοπίστηκαν πολλαπλές εκδόσεις. Προς το παρόν δεν υπάρχει διαθέσιμος decryptor διαθέσιμος για το στέλεχος ransοmware.

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS