Nowy typ ransomware: ranscam chce okupu za odszyfrowanie plików, które usuwa

Nowy typ ransomware: ranscam chce okupu za odszyfrowanie plików, które usuwa

Nowy typ ransomware: ranscam chce okupu za odszyfrowanie plików, które usuwa
14.07.2016 13:04, aktualizacja: 15.07.2016 10:49

W ciągu ostatnich miesięcy zauważalnie nasiliła się popularność ransomware – złośliwego oprogramowania szyfrującego pliki i żądającego od zaatakowanego okupu za ich odszyfrowanie. Jego ofiarami stały się duże instytucje publiczne, także szpitale, jednak nachodzi nowy typ zagrożenia, wykorzystujący, przynajmniej pozornie, zbliżone metody.

Nowe złośliwe oprogramowanie zyskało już swoją nazwę, ranscam, i zostało przeanalizowane na łamach bloga Cisco Talos. Mimo że stanowi ono dla ofiary znacznie poważniejsze zagrożenie, to jest bardziej prymitywną formę ransomware, gwarantując po prostu atakującemu dodatkowy zysk.

W przypadku zaatakowania ransomwarem kwestią sporną jest, czy należy atakującym płacić okup za odszyfrowanie plików. Te wątpliwości nie mają jednak nic wspólnego z ranscam. Atak jedynie pozoruje, że pliki zostały zaszyfrowane i żąda za odblokowanie dostępu przelewu w wysokości 0,2 bitcoina (ok. 522 zł). W rzeczywistości jednak pliki zostały bezpowrotnie usunięte, a zapłacenie okupu nie przyniesie żadnych rezultatów.

Obraz

Ranscam rozprzestrzenia się jako wykonywalny plik NET podpisany certyfikatem wydanym przez reca.net 6 lipca. Po wykonaniu kopiuje się do lokalizacji %APPDATA%\ oraz %TEMP%, a następnie z wykorzystaniem spyware Windows Command Processor powiela się jako program wsadowy, który zamiast szyfrować pliki systemowe, po prostu je usuwa. Następnie z wykorzystanie Powershella wyświetlany jest komunikat z żądaniem okupu.

Co ciekawe, analitycy Talosa spróbowali zapłacić okup, co jednak okazało się niemożliwe. W tym celu wykorzystali dostępny w komunikacie formularz z pozorowaną prośbą o pomoc. Atakujący odpowiedział im z adresu cryptofinancial@yandex.com, wysyłając szczegółowe instrukcje dotyczące tego, jak dokonać transakcji z wykorzystaniem bitcoinów.

Nie zabrakło tam nawet wskazania konkretnego serwisu, gdzie można kupić kryptowalutę, choć pliki zostały bezpowrotnie utracone. Nie sposób mieć zatem wątpliwości, że mechanizm działania ranscam, w postaci usuwania, a nie szyfrowania plików, jest przez atakującego całkowicie zamierzony.

Programy

Zobacz więcej
Źródło artykułu:www.dobreprogramy.pl
Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Wybrane dla Ciebie
Komentarze (27)