Close

22/12/2013

ESET objavil nasledovníka známeho trójskeho koňa šifrujúceho súbory – Cryptolocker 2.0

ESET objavil ďalšiu rodinu škodlivého kódu, ktorá šifruje súbory. Jeho tvorca tohto trójskeho koňa pomenoval Cryptolocker 2.0. Je pravdepodobné, že sa inšpiroval trójskym koňom Cryptolocker, ktorému médiá v posledných dvoch mesiacoch venovali zvýšenú pozornosť.

Obe verzie sa po infikovaní prístroja správajú podobne: Na počítači svojej obete vyhľadajú konkrétne typy súborov, ktoré zašifrujú. Na infikovanom počítači sa následne zjaví okno s informáciou, že ak chce obeť svoje súbory dešifrovať, musí zaplatiť výkupné. Hrozby v podobe Cryptolockera a Cryptolockera 2.0 sa však medzi sebou viditeľne odlišujú v nasledovných troch znakoch: Cryptolocker 2.0 síce zobrazuje dátum, do ktorého musí obeť výkupné zaplatiť, jeho predchodca však zobrazuje aj časovač. Výkupné pre Cryptolocker 2.0 môže obeť zaplatiť len vo virtuálnej mene Bitcoin, originálny Cryptolocker akceptuje platby aj cez poukážky zakúpené cez služby MoneyPak, Ukash a cashU. Tretím viditeľným rozdielom je odlišný šifrovací algoritmus, ktorým sú súbory zašifrované a ktorého názov je zobrazený v správe pre majiteľa infikovaného počítača.

Analýza škodlivého kódu odhalila však aj rozdiely v implementácii oboch hrozieb. „Originálny Cryptolocker je orientovaný skôr na firmy a nešifruje fotky, videá a hudbu. Cryptolocker 2.0 to však už robí – zameriava sa aj na .mp3, .mp4, .jpg, .png, .avi a .mpg súbory,“ vysvetľuje Róbert Lipovský, výskumník škodlivého kódu zo spoločnosti ESET. Na základe týchto rozdielov si ESET myslí, že je málo pravdepodobné, aby šlo v prípade Cryptolockera 2.0 o novú verziu originálneho trójskeho koňa, ktorý by vytvoril ten istý autor alebo skupina autorov.

Cryptolocker 2.0 sa môže maskovať ako súbor určený na nelegálne „crackovanie“ platených programov ako napríklad Microsoft Windows, Microsoft Office, Adobe Photoshop alebo aj ESET Smart Security. „Mimo legálneho problému to poukazuje aj na riziká spojené s používaním pirátskeho softvéru,“ dodáva Lipovský. Táto hrozba sa však dokáže šíriť aj cez vymeniteľné médiá ako napríklad USB kľúče, CD a DVD disky atď.

Mimo vymáhania finančnej čiastky od svojej obete dokáže Cryptolocker 2.0 kradnúť súbory z Bitcoinovej peňaženky a uskutočňovať DDoS útoky na určený server. ESETu sa však nepodarilo zistiť, či útočník túto funkcionalitu aj reálne využíva. Riešenia spoločnosti ESET detegujú Cryptolocker 2.0 ako MSIL/Filecoder.D alebo MSIL/Filecoder.E. „Ak si používatelia pravidelne nezálohujú svoje dáta, dokáže táto hrozba svojej obeti narobiť poriadne problémy,“ uzatvára Lipovský.

Mimo pravidelného zálohovania odporúča ESET svojim domácim zákazníkom bezplatný prechod na siedmu verziu antivírusových riešení ESET Smart Security a ESET NOD32 Antivirus, ktorá obsahuje funkcionalitu Pokročilá kontrola pamäte. Tá dokázateľne zlepšuje detekciu nových variantov škodlivého kódu, vrátane ransomwaru, ktorý od používateľov vymáha peniaze.

Vzájomné rozdiely

CryptolockerCryptolocker 2.0
Ako ich deteguje ESETWin32/Filecoder.BQMSIL/Filecoder.D, MSIL/Filecoder.E
Použitý programovací jazykC++C#
Spôsob platbyMoneypak, Ukash, cashU, BitcoinBitcoin
Šifra použitá na zašifrovanie súborovAES3DES
Šifra použitá na zašifrovanie symetrického kľúčaRSA-2048RSA-1024
Zašifrovaný symetrický kľúč uložený:na koniec zašifrovaného súborudo separátneho súboru: %filename%.%fileext%.k
Komunikácia s C&C serverom zašifrovaná cez:RSAAES
Adresa C&C serverahardkódovaná, DGAhardkódovaná
zdroj: eset

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *