Nova verzija ransomwarea CryptoWall 4.0 pravi dodatnu zbrku šifrujući nazive fajlova

Opisi virusa, 10.11.2015, 01:30 AM

Urednik sajta BleppingComputer.com Lorens Abrams, objavio je da se pojavila nova verzija ranosmwarea Cryptowall, upozoravajući da je ozloglašeni ransomware sada veća pretnja nego što je to bio ikada ranije.

Za novu verziju Cryptowalla Abrams je saznao od ljudi koji su se žalili da su im računari zaraženi nečim što je ima naziv help_your_files ranosmware. On je ubrzo shvatio da je to ustvari nova verzija CryptoWalla.

Prema rečima Adamsa, jedna od najvećih promena koju je donela nova verzija ransomwarea je to što kada se fajlovi šifruju, šifruju se i nazivi fajlova, tako da na kraju fajlovi imaju nazive kao što su 27p9k967z.x1nep ili 9242on6c.6la9. To verovatno dodatno frustrira one čiji su računari inficirani, jer oni sada ne znaju čak ni to koje fajlove treba sačuvati.

Druga velika novina u odnosu na prethodne verzije ranosmwarea je novi dizajn HTML obaveštenja o otkupu koje je takođe promenilo naziv u help_your_files.html. Abrams kaže da bi arogancija sa kojom se sajber kriminalci obraćaju žrtvama u pomenutom obaveštenju trebalo da izazove nerviranje korisnika inficiranih računara i natera ih da plate otkup.

CryptoWall se i dalje distribuira preko email atačmenta. U slučajevima koje je analizirao Abrams, zipovani fajl u emailovima je predstavljen kao CV, a ustvari je skup JavaScript fajlova koji kada se pokrenu preuzimaju izvršni fajl, koji čuvaju u folderu Windows%Temp%, da bi taj fajl zatim bio izvršen.

Kada je aktivan, CryptoWall 4.0 se ubacuje Explorer.exe i isključuje System Restore, briše sve Shadow Volume copije, i koristi bcdedit da isključi Windows Startup Repair. On se onda ubacuje u svchost.exe i šifruje sve podatke koje pronađe na računaru. Kada završi šifrovanje fajlove, CryptoWall prikazuje poruku o otkupu u kojoj se žrtvi objašnjava šta se dogodilo i kako da kupi ključ za dešifrovanje fajlova.

“Ne možete da nađete fajlove koji cu vam potrebni? Da li je sadržaj fajlova koje ste gledali nečitljiv? To je normalno jer su nazivi fajlova, kao i podaci u vašim fajlovima šifrovani. Čestitke!!! Postali ste deo velike zajednice CryptoWalla. CryptoWall Project nije zlonameran i nije mu cilj da naškodi pojedincu i njegovim/njenim podacima. Pojekat se sprovodi sa ciljem obuke na polju informatičke bezbednosti, kao i certifikovanja antivirusnih proizvoda i njihove podobnosti da zaštite podatke. Zajedno činimo internet boljim i bezbednijim mestom”, kaže se u obaveštenju o otkupu.

Na sajtu Decrypt Servise žrtva može da obavi plaćanje, da sazna status plaćanja, da dobije besplatno dešifrovanje i da pošalje zahtev za podršku.

Trenutno ne postoji način da se povrate fajlovi osim iz backupa ili plaćanjem otkupa.

Dejvid Em iz Kaspersky Laba kaže da s obzirom da ranosmware nudi unosan povratak uloženih sredstava, ne treba da čudi pojava nove verzije CryptoWalla. “U Kaspersky Labu smo videli rast ove vrste malvera, uključujući i mobilni ransomware.”

Em kaže da Kaspersky Lab blokira ransomware ali i sarađuje sa nadležnim organima da bi im pomogao u njihovim nastojanjima da se izbore sa ovom vrstom pretnje. Primer za to je nedavno okončana agonija sa ransomwareom CoinVault.

“Policija je uhapsila autore ovog botneta, a Kaspersky Lab je ponudio besplatan alat da bi omogućio žrtvama da dešifruju svoje podatke”, kaže Em.

Bez obzira na to što pouzdani antivirusi detektuju ovakve programe, Em podseća da firme i obični korisnici treba redovno da prave rezervne kopije, da bi izbegli rizik od trajnog gubitka podataka. Kada dođe do ucene i kada se žrtve nađu u dilemi da li da plate otkup, preporuka je stručnjaka da ne sarađuju sa kriminalcima iz nekoliko razloga. Najpre, nema garancije da će kriminalci ispuniti obećanje i dati žrtvi ključ za dešifrovanje, i drugo, ovo jača biznis model sajber kriminalaca i motiviše ih da pokreću nove kampanje distribucije ransomwarea.