Noutați

CTB-Locker: Un cod malițios de tipul ransomware, care se răspândește rapid în multe țări

23-01-2015

Conform ultimelor observații, atacurile de tip ransomware apar din ce în ce mai frecvent: reamintim aici atacul TorrentLocker direcționat asupra teritoriului Marii Britanii, ce a inclus o componentă phishing ce impersona serviciul național de poștă Royal Mail, precum numeroasele amenințări care apar tot mai des în diferite regiuni din Europa.
În ultimele zile am intrat în posesia a numeroase rapoarte care atestă răspândirea din ce în ce mai accelerată a acestui tip de malware  în diferite țări, mai ales din Europa de Est și America Latină. De cele mai multe ori atacul debutează cu un e-mail fals, care pretinde de pildă includerea unui atașament de fax sau a unui alt tip de informație atașată, pe care utilizatorul este păcălit să o deschidă. Atacul urmărește răspândirea de cod malițios, cu scopul final de a cripta fișiere victimelor care sunt ulterior șantajate cu o răscumpărare în Bitcoin pentru recuperarea informațiilor criptate.

În acest articol vom ilustra cum aceste campanii răspândesc o nouă variantă a CTB-Locker Ransomware, ce provoacă pierderi majore de date pentru mii de utilizatori. Polonia, Cehia și Mexic sunt printre cele mai afectate țări, așa cum se poate vedea în următorul grafic:
 
Atacul este inițiat de un e-mail fals, trimis în cadrul unor ample campanii de spam, în inbox-ul utilizatorului. Subiectul mesajului pretinde că atașamentul inclus este un mesaj fax; fișierul este detectat de către ESET ca Win32 / TrojanDownloader.Elenoocka.A. Dacă atașamentul este deschis și software-ul antivirus nu oferă protecție împotriva acestuia o variantă de Win32 / FileCoder.DA va fi descărcată pe sistemul respectiv: toate fișierele sunt ulterior fi criptate și pot fi considerate  pierdute pentru totdeauna, existând doar opțiunea de a plăti o răscumpărare în Bitcoin, aparent singura speranță care promite să redea ulterior accesul la informațiile blocate de procesul de criptare.

Unele variante ale Win32 / TrojanDownloader.Elenoocka.A se conectează la un URL pentru a descărca codul malware detectat de ESET ca Win32 / FileCoder.DA și cunoscut sub numele de CTB Locker. Această familie de ransomware criptează toate fișierele într-un mod similar cu CryptoLocker. Principala diferență este că această familie de malware foloseste un alt algoritm de criptare, de la care provine numele său.
Rezultatul procesului este similar cu cel derulat de către CryptoLocker sau TorrentLocker - fișierele cu extensii MP4, .pem, .jpg, .doc, .cer, DB etc. sunt criptate cu o cheie știută doar de atacatori, ceea ce face practic imposibilă recuperarea fișierelor. După ce codul de malware termină criptarea informațiilor utilizatorului se afișează un avertisment și se modifică de asemenea fundalul desktopului cu un mesaj similar cu cel observat în imaginea de mai jos:

 

Texto alternativo generado por el equipo:

Mesajul va fi afișat, în funcție de aria de atac, în limba germană, olandeză, italiană și engleză, fiind adaptat pentru unele din țările vizate. Chiar dacă limba spaniolă nu este una dintre limbile utilizate pentru a afișa mesajul de răscumpărare, au fost detectate multe infectări în țările vorbitoare de limbă spaniola.
În scopul de a asigura utilizatorii că îți pot recupera fișierele,  odată ce plata se face, infractorii cibernetici oferă o demonstrație a modului în care acest proces funcționează, ilustrare pe care o puteți vedea în imaginea de mai jos:

Texto alternativo generado por el equipo:

 Texto alternativo generado por el equipo:

După ce utilizatorul urmărește demonstrația, atacatorii îi indică cum să decripteze fișierele și unde anume trebuie să trimită suma convertită în Bitcoin (BTC). Procesul indică inclusiv o metodă prin care utilizatorul  poate achiziționa Bitcoin în cazul în care nu dispune de această monedă:
Texto alternativo generado por el equipo:
Un alt detaliu specific pentru CTB-Locker este că nu doar mesajul este localizat și afișat utilizatorului în diferite limbi, ci și suma ce trebuie plătită este convertită într-o monedă corespunzătoare. În cazul în care utilizatorul alege să vadă mesajul în limba engleză prețul este afișat în dolari SUA, în caz contrar valoarea va fi în euro. Răscumpărarea este de 8 Bitcoins, care în această lună (ianuarie 2015) au o valoare de aproximativ 1700 de dolari.

 

Din păcate tehnica de criptare folosită de CTB-Locker face imposibilă recuperarea fișierelor prin analizarea codului payload.

 

Merită de accea reamintite permanent măsurile de siguranță care trebuiesc adoptate de către utilizatori și companii:
• Dacă aveți o soluție de securitate pentru servere de mail,  activați filtrarea după extensie. Acest lucru vă permite să blocați fișierele malware cu extensii cum ar fi .scr, cum este cazul extensiei utilizate de către Win32 / TrojanDownloader.Elenoocka.A.
• Evitați deschiderea atașamentelor din e-mailuri de origine dubioasă în cazul cărora nu a fost identificat expeditorul.
• Ștergeți e-mailurile dubioase și marcați-le ca spam pentru a împiedica alți utilizatori sau angajații ai companiei să fie afectați de aceste amenințări.
• Păstrați solutiile de securitate actualizate pentru a detecta cele mai recente amenințări care se răspândesc.
• Efectuați riguros și des un back-up al informațiilor dumneavoastră critice.

 

Contactează un
agent de vânzări:

LiveZilla Live Chat Software