- Οι ερευνητές ασφάλειας σημειώνουν ότι είναι γραμμένο σε ένα ενεργό αρχείο και χρησιμοποιεί πολλαπλά ελεύθερα διαθέσιμα εργαλεία για τη διεξαγωγή της «βρώμικης» δουλειάς του.
Ένα νέο κομμάτι του crypto-malware πλήττει τις... ρωσόφωνες χώρες, κλέβοντας τις διευθύνσεις ηλεκτρονικού ταχυδρομείου, καθώς και εξαπλώνεται από μόνο του στις επαφές λογαριασμού του θύματος.
Εκτός από αυτές τις ιδιαιτερότητες του malware, οι ερευνητές ασφάλειας σημειώνουν ότι είναι γραμμένο σε ένα ενεργό αρχείο και χρησιμοποιεί πολλαπλά ελεύθερα διαθέσιμα εργαλεία για τη διεξαγωγή της «βρώμικης» δουλειάς του.
Ο φορέας της επίθεσης είναι ένα έγγραφο του Word που μεταδίδεται μέσω ηλεκτρονικού ταχυδρομείου, το οποίο ισχυρίζεται ότι περιλαμβάνει αλλαγή των όρων της συμφωνίας της υπηρεσίας που πρέπει να αναθεωρηθεί πριν από υπογραφεί.
Μόλις το θύμα ανοίξει το έγγραφο, ένα downloader γραμμένο σε JavaScript αποθηκεύει ορισμένα εκτελέσιμα καμουφλαρισμένα με την επέκταση BTC. Αυτά είναι εργαλεία που διατίθενται δωρεάν στο κοινό και είναι απαραίτητα για την κρυπτογράφηση των δεδομένων που είναι αποθηκευμένα στον υπολογιστή σας, καθώς και για τη διάδοση του malware.
Οι JaromirHorejsi και Honza Ζήκα της Avast, οι οποίοι ανέλυσαν την απειλή, παρατήρησαν ότι όλες οι κακόβουλες ενέργειες ξεκίνησαν από ένα αρχείο BAT.
Για να καλύψει τη διαδικασία της κρυπτογράφησης των αρχείων (XLS, XLSX, DOC, DOCX, XLSM, DWG, SVG, MDB, PDF, ZIP, RAR, και JPG) στο δίσκο, εμφανίζεται το έγγραφο του Word, μόνο για να δείξει ασυνάρτητους χαρακτήρες, κάτι που δικαιολογείται με το γεγονός ότι είχε δημιουργηθεί με μια νεότερη έκδοση του επεξεργαστή της Microsoft Word.
Τα δεδομένα είναι κλειδωμένα με έναν RSA αλγόριθμο 1024-bit, και στηρίζεται στην κρυπτογραφία δημόσιου κλειδιού που περιλαμβάνει ένα δημόσιο κλειδί κρυπτογράφησης των δεδομένων, και ένα ιδιωτικό για να το αποκρυπτογραφήσει, το οποίο αποστέλλεται στον επιτιθέμενο σε αυτήν την περίπτωση.
Έπειτα εμφανίζεται ένα μήνυμα που ζητά από το θύμα να πληρώσει € 140 / $ 185 για το ιδιωτικό κλειδί που ξεκλειδώνει τα αρχεία, και να στείλει δύο αρχεία (UNIQUE.PRIVATE και KEY.PRIVATE.) σε μια διεύθυνση ηλεκτρονικού ταχυδρομείου (paycrypt@gmail.com) που ελέγχεται από τους εγκληματίες του κυβερνοχώρου.
Αυτά τα στοιχεία απαιτούνται για τον εντοπισμό των πληροφοριών που έχουν κρυπτογραφηθεί και τη θέση τους στο δίσκο, καθώς και για την παροχή του κλειδιού αποκρυπτογράφησης.
Τα ονόματα χρηστών και οι κωδικοί πρόσβασης ηλεκτρονικού ταχυδρομείου, επίσης, αποστέλλονται στον εισβολέα και στη συνέχεια ελέγχονται σε κοινές υπηρεσίες webmail στη Ρωσία: Mail.ru και Yandex.
Το ενδιαφέρον στη μέθοδο διάδοσης είναι ότι τα 100 μηνύματα που γίνονται λήψη από το inbox του θύματος φιλτράρονται και με αυτά που λαμβάνονται αυτόματα εξαλείφονται.
Επιπλέον, οι δέκα παραλλαγές των ηλεκτρονικών μηνυμάτων που δημιουργήθηκαν, το καθένα με έναν προσαρμοσμένο σύνδεσμο που ανακατευθύνει σε διαφορετικά αρχεία που κρύβουν το JavaScript downloader.
Αυτό δεν είναι ένα τυπικό ransomware, καθώς αξιοποιεί το ελεύθερο λογισμικό όπως το GPG (για κρυπτογράφηση), Email Extractor, Browser Password Dump (για την ανάκτηση των κωδικών πρόσβασης που αποθηκεύονται στο πρόγραμμα περιήγησης στο διαδίκτυο) και το Blat (για την αποστολή e-mail).
Όταν ολοκληρωθεί η παράνομη δραστηριότητα, όλα τα προσωρινά αρχεία διαγράφονται από το σύστημα χρησιμοποιώντας το εργαλείο SDelete της Sysinternals, τμήμα της Microsoft.
Πηγή: SecNews
