CryptXXX – nowe ransomware nie tylko szyfruje, ale także wykrada dane

Mowa o CryptXXX. Nowe ransomware jako pierwsi przeanalizowali specjaliści z ProofPoint. Wskazują oni na liczne podobieństwa pomiędzy CryptXXX a dotychczas znanymi zagrożeniami, co wskazuje na fakt, że stoją zanim ci sami atakujący, którzy wcześniej infekowali dyski za pomocą na przykład Locky’ego.

CryptXXX ma być dystrybuowany za pomocą stron internetowych od końca marca, najpewniej w wyniku pobrania trojana nie brakuje, nie jest zatem wykluczone, że ransomware może zostać także pobrane inną drogą.

Posiada ono ok. godzinne opóźnienie w uruchomieniu, co ma zapobiec określeniu przez użytkownika przebiegu i identyfikacji zagrożenia. Po upływie mniej więcej 62 minut, oprócz oczywiście szyfrowania kluczem RSA4096, CryptXXX zaczyna umieszczać na dysku liczne kopie komunikatu, mającego wymusić zapłacenie okupu za zablokowanie dostępu do dysku. Zmienia także tapetę. Atakujący żądają za odblokowanie urządzenia równowartości ponad 500 dolarów w bitcoinach, co można uznać za wysoką cenę w tego typu przypadkach. Ze szczegółami działania nowego ransomoware można zapoznać się na stronach ProofPoint.

Pewnym wyróżnikiem CryptXXX, choć podobne przypadki zdarzały się sporadycznie wcześniej, jest fakt, ze oprócz szyfrowania, ma być on także zdolny do przechwytywania danych z dysku i, przede wszystkim przeglądarki. Atak jest wycelowany głównie na dane z menedżera haseł, które mogą posłużyć atakującym w kradzieży środków z kont bankowych. Ponadto, choć ProofPoint nie opisuje tego procederu w szczegółach, program ma być także zdolny do przejmowania bitcoinów.

Zagrożenie zostało jeszcze stosunkowo słabo rozpoznane, wiadomo jednak, że w sytuacji odmowy zapłaty okupu, jego wysokość rośnie aż do 1000 dolarów. Według ekspertów, CryptXXX może pod względem zasięgu i i zagrożenia, posiadać status zbliżony do niesławnego Locky'ego.