Przejdź na

Nowy typ ransomware: ranscam chce okupu za odszyfrowanie plików, które usuwa

W ciągu ostatnich miesięcy zauważalnie nasiliła się popularność ransomware – złośliwego oprogramowania szyfrującego pliki i żądającego od zaatakowanego okupu za ich odszyfrowanie. Jego ofiarami stały się duże instytucje publiczne, także szpitale, jednak nachodzi nowy typ zagrożenia, wykorzystujący, przynajmniej pozornie, zbliżone metody.

Obraz
Maciej Olanicki

Nowe złośliwe oprogramowanie zyskało już swoją nazwę, ranscam, i zostało przeanalizowane na łamach bloga Cisco Talos. Mimo że stanowi ono dla ofiary znacznie poważniejsze zagrożenie, to jest bardziej prymitywną formę ransomware, gwarantując po prostu atakującemu dodatkowy zysk.

W przypadku zaatakowania ransomwarem kwestią sporną jest, czy należy atakującym płacić okup za odszyfrowanie plików. Te wątpliwości nie mają jednak nic wspólnego z ranscam. Atak jedynie pozoruje, że pliki zostały zaszyfrowane i żąda za odblokowanie dostępu przelewu w wysokości 0,2 bitcoina (ok. 522 zł). W rzeczywistości jednak pliki zostały bezpowrotnie usunięte, a zapłacenie okupu nie przyniesie żadnych rezultatów.

Obraz

Ranscam rozprzestrzenia się jako wykonywalny plik NET podpisany certyfikatem wydanym przez reca.net 6 lipca. Po wykonaniu kopiuje się do lokalizacji %APPDATA%\ oraz %TEMP%, a następnie z wykorzystaniem spyware Windows Command Processor powiela się jako program wsadowy, który zamiast szyfrować pliki systemowe, po prostu je usuwa. Następnie z wykorzystanie Powershella wyświetlany jest komunikat z żądaniem okupu.

Co ciekawe, analitycy Talosa spróbowali zapłacić okup, co jednak okazało się niemożliwe. W tym celu wykorzystali dostępny w komunikacie formularz z pozorowaną prośbą o pomoc. Atakujący odpowiedział im z adresu cryptofinancial@yandex.com, wysyłając szczegółowe instrukcje dotyczące tego, jak dokonać transakcji z wykorzystaniem bitcoinów.

Nie zabrakło tam nawet wskazania konkretnego serwisu, gdzie można kupić kryptowalutę, choć pliki zostały bezpowrotnie utracone. Nie sposób mieć zatem wątpliwości, że mechanizm działania ranscam, w postaci usuwania, a nie szyfrowania plików, jest przez atakującego całkowicie zamierzony.

Źródło artykułu: www.dobreprogramy.pl
Wybrane dla Ciebie
Możesz stracić fanpage. Wyjątkowo autentyczny atak
Możesz stracić fanpage. Wyjątkowo autentyczny atak
Fałszywy SMS. Oszuści podszywają się pod ZUS
Fałszywy SMS. Oszuści podszywają się pod ZUS
Żabka stworzy kartę płatniczą. Wybrała dużego partnera
Żabka stworzy kartę płatniczą. Wybrała dużego partnera
PKO Bank Polski wydał komunikat. Uważaj, kto dzwoni
PKO Bank Polski wydał komunikat. Uważaj, kto dzwoni
Nowości w mObywatelu. Dodano trzy funkcje
Nowości w mObywatelu. Dodano trzy funkcje
Ważny komunikat Alior Banku. Dotyczy wszystkich klientów
Ważny komunikat Alior Banku. Dotyczy wszystkich klientów
Uznański-Wiśniewski: To AI wybiera, co warto przesłać z orbity
Uznański-Wiśniewski: To AI wybiera, co warto przesłać z orbity
Czarna lista w telefonie. Jak zablokować niechciane połączenia?
Czarna lista w telefonie. Jak zablokować niechciane połączenia?
Nowość w Zdjęciach Google. Wygodniejsza edycja fotografii
Nowość w Zdjęciach Google. Wygodniejsza edycja fotografii
Atak hakerski na Booking. Zdobyli dane klientów
Atak hakerski na Booking. Zdobyli dane klientów
Luka 0-day w Adobe Reader. Wystarczy spreparowany PDF
Luka 0-day w Adobe Reader. Wystarczy spreparowany PDF
Zaktualizuj Windowsa: wydano kwietniowe poprawki
Zaktualizuj Windowsa: wydano kwietniowe poprawki
MOŻE JESZCZE JEDEN ARTYKUŁ? ZOBACZ CO POLECAMY 🌟