Ένα νέο στέλεχος ransomware, με το όνομα Pxj, το οποίο κρυπτογραφεί τα αρχεία των χρηστών, ανακαλύφθηκε πρόσφατα από ερευνητές ασφαλείας. Τα κρυπτογραφημένα αρχεία, φέρουν την επέκταση «.pxj»
Το νέο στέλεχος ransomware ανακαλύφθηκε από την ομάδα X-Force Incident Response της IBM και το κακόβουλο λογισμικό είναι γνωστό ως “XVFXGW”.
PXJ Ransomware
Το κακόβουλο λογισμικό που ανακαλύφθηκε, φαίνεται ότι είναι νέο, αφού δεν παρουσιάζει συνδέσμους με καμία άλλη γνωστή οικογένεια ransomware.
Οι κυβερνοεγκληματίες χρησιμοποιούν έναν πακέτο πληροφοριών ανοιχτού κώδικα με την επωνυμία UPX, το οποίο είναι γνωστό για την υποστήριξη πολλαπλών μορφών αρχείων.
Η ακριβής μέθοδος διανομής του ransomware παραμένει άγνωστη, αλλά γίνεται κυρίως μέσω μηνυμάτων ηλεκτρονικού ταχυδρομείου. Μόλις εισέλθει στο σύστημα του θύματος, ελέγχει τον Κάδο Ανακύκλωσης και τον αδειάζει.
Στη συνέχεια καταστρέφει τα αντίγραφα ασφαλείας, απενεργοποιεί την υπηρεσία Windows Error Recovery και στη συνέχεια εκτελεί εντολές για να καταστρέψει την ικανότητα του χρήστη να ανακτήσει τα δεδομένα του μετά την κρυπτογράφηση.
Μόλις οι υπηρεσίες αυτές απενεργοποιηθούν ξεκινά τη διαδικασία κρυπτογράφησης, χρησιμοποιώντας αλγόριθμους AES και RSA.
Ransomware
Το ransomware κρυπτογραφεί αρχεία όπως φωτογραφίες και εικόνες, βάσεις δεδομένων, έγγραφα, βίντεο και άλλα αρχεία στη συσκευή.
Μόλις ολοκληρωθεί η κρυπτογράφηση, προστίθεται μια επέκταση “PXJ” και κατεβάζει ένα αρχείο με το όνομα “LOOK.txt” το οποίο περιέχει το σημείωμα που ζητά λύτρα από το θύμα.
Οι μολυσμένοι χρήστες μπορούν να επικοινωνήσουν με τους εισβολείς μόνο μέσω του μηνύματος ηλεκτρονικού ταχυδρομείου και τους ζητείται να πληρώσουν ένα ποσό ως λύτρα σε bitcoin για να πάρουν πίσω τα αρχεία τους.
Επίσης, ο εισβολέας ζητά από τα θύματα να πληρώσουν τα λύτρα άμεσα, διαφορετικά το ποσό διπλασιάζεται μετά από τρεις ημέρες και το κλειδί αποκρυπτογράφησης θα καταστραφεί.
Οι ερευνητές παρατήρησαν επίσης την ύπαρξη ενός αρχείου με όνομα “Res.AAABANIx93RdufO4”, που περιέχει παλαιά και νέα δείγματα του ransomware, το οποίο όπως επισημαίνει το σημείωμα που λαμβάνει το θύμα “δε θα πρέπει να διαγράψει αυτό το αρχείο, πράγμα που οδηγεί στο συμπέρασμα ότι αυτό το αρχείο μπορεί να χρησιμοποιηθεί στη διαδικασία αποκρυπτογράφησης.”
Η χρήση ransomware έχει μετατραπεί σε μία ιδιαίτερα επικερδή επιχείρηση για τους κακόβουλους παράγοντες σε όλο τον κόσμο, η οποία συνεχώς αναπτύσσεται και επιφέρει εκατομμύρια δολάρια στους δημιουργούς του.
