Ransomware CryptoWall se širi uz pomoć malicioznih reklama na velikim web sajtovima

Opisi virusa, 09.06.2014, 00:05 AM

Maliciozne reklame na domenima koji pripadaju Dizniju, Fejsbuku, Gardijanu i drugim kompanijama vode posetioce do malvera koji šifruju kompjuterske fajlove i traže otkup za njih, upozorila je kompanija Cisco Systems.

Do ovog otkrića se došlo ubrzo posle velike policijske akcije protiv bot mreže koja je distribuirala bankarskog Trojanca Gameover Zeus i ransomware CryptoLocker, koji se pojavio prošle godine i za samo dva meseca zarazio skoro 250 hiljada računara.

Istraga koju je sproveo Cisco otkrila je tehnički kompleksan i veoma delotvoran način infekcije velikog broja računara ransomwareom CryptoWall.

Cloud Web Security, koji proizvodi Cisco, prati surfovanje korisnika i beleži posete sumnjivim malicioznim domenima. CWS dnevno prati milijarde zahteva web stranicama.

CWS je blokirao 90 domena, od kojih su mnogi WordPress sajtovi. Istraga je pokazala da su mnogi korisnici CWS završili na spornim domenima pošto su gledali reklame na domenima kao što su “apps.facebook.com”, “awkwardfamilyphotos.com”, “theguradian.co.uk” i “go.com” koji je u vlasništvu Diznija, ali i mnogim drugim domenima.

Klik na reklamu presumerava žrtvu na jedan od 90 malicioznih domena. Ova vrsta napada naziva se malvertajzing. Malvetrajzing je već duže vreme veliki problem sa kojim se bore oglasne mreže, koje pokušavaju da otkriju maliciozne reklame na svojim mrežama.

Dešava se povremeno da maliciozne reklame promaknu proveri, pa budu prikazane na velikom broju sajtova prijavljenih na mrežu ili partnerske mreže, pri čemu vlasnici web sajtova često ne znaju za to.

Problem sa malvertajzingom je u tome što ljudi očekuju da su ugledni sajtovi sigurni, ali na njima ima mnogo eksternih linkova, pa ovakva očekivanja nisu uvek opravdana.

90 domena sa malicioznim reklamama su hakovani, objašnjavaju iz kompanije Cisco, navodeći da su u slučaju WordPress sajtova korišćeni brute-force napadi, da bi se pristupilo kontrolnim panelima sajtova. Napadači su zatim ubacivali exploit alat Rig, koji je napadao računare posetilaca.

Rig proverava da li na računarima posetilaca ima ranjivog Flasha, Internet Explorera, Jave ili Silverlighta. Ako je nešto od ovoga nezakrpljeno, napad će biti uspešan. Rig je otkriven u aprilu ove godine.

U sledećoj fazi napada, instalira se ransomware nazvan Cryptowall, koji je srodan poznatijem malveru Cryptolocker. On šifruje fajlove korisnika i zahteva od korisnika da plati dešifrovanje. Web sajt na kome žrtva može platiti otkup za svoje zarobljene fajlove je skriveni sajt koji koristi Tor.onion domen.

Da bi korisnik pristupio takvom web sajtu, mora imati instaliran Tor, a uputstva kako to da uradi dobija od malvera Cryptowall. Za one koji oklevaju sa plaćanjem raste cena otkupa.

U kompaniji Cisco pretpostavljaju da u ovoj prevari učestvuje nekoliko grupa ili ljudi koji su specijalizovani za malvertajzing, preusmeravanje, pisanje exploita i kampanje ransomwarea.

Cryptowall je najnovija verzija malvera Cryptolocker koji je delo istih programera koji su stvorili i ransomware CryptoDefence, koji se pojavio krajem marta. Tada su stručnjaci otkrili da ovaj malver ima jednu ozbiljnu grešku, koja je rezultat previda autora koji su zaboravili ključeve za dešifrovanje sakrivene na zaraženom računaru.

Da bi ispravili grešku, autori malvera su stvorili Cryptowall, a šifrovane fajlove na sistemu nije moguće dešifrovati.

Kada je CryptoWall instaliran na sistemu, on će početi da skenira hard disk tražeći fajlove i šifrujući ih. Kada završi sa šifrovanjem, CryptoWall kreira fajlove koji sadrže uputstvo za korisnika o tome kako da plati za dešifrovanje fajlova, koje se nalazi u svakom šifrovanom folderu. Od žrtve se traži da plati 500 dolara.

Najveći broj infekcija zabeležen je u SAD, a zatim slede Velika Britanija i Australija.