Az új verzió
Az RAA zsarolóvírus 2016 júniusában tűnt fel, ez az első ismert zsarolóvírus, amit teljes mértékben JScript programozási nyelven írtak. Augusztusban a Kaspersky Lab szakértői egy új verziót találtak. Az előzőhöz hasonlóan a vírus email útján terjed, de most a rosszindulatú kód egy csatolt, jelszóval védett zip archívumba van rejtve. Ezt az újítást főleg azért vezették be a bűnözők, hogy becsapják a vírusirtó programokat, mivel így a védett archívum tartalma nehezebben hozzáférhető.
[extracode type=”ad” id=”in_post_trendextra” data=”99″]
Az emailek vizsgálata során a Kaspersky Lab szakértői arra a következtetésre jutottak, hogy a csalók vállalatokat szándékoznak megtámadni: a rosszindulatú email egy megrendelés elmaradt kifizetésének adatait tartalmazza.
Hogy még hihetőbb legyen az email, a csalók megemlítik, hogy biztonsági okokból, a csatolt file jelszóval (az archívum jelszava az email végén található) és aszimmetrikus titkosítással is védve van. Ez a kijelentés nevetségesen hangzik a hozzáértő felhasználók számára, de teljesen megbízhatónak tűnhet a becsapható áldozatoknak.
Az ezt követő fertőzési folyamat hasonlít a korábbi verzió azonos folyamataira. Az áldozat futtat egy .js file-t, amely elindítja a rosszindulatú folyamatot. Hogy elterelje az áldozat figyelmét, a trójai egy kamu szöveges dokumentumot jelenít meg, ami random karaktereket tartalmaz. Amíg az áldozat értelmezni próbálja a látottakat, a háttérban az RAA a gépen található file-okat titkosítja. Végül a zsarolóvírus egy váltságdíjat követelő üzenetet ment az asztalra és az összes titkosított file új .locked kiterjesztést kap.
Miben fejlődött?
Az előző verzióhoz képest a fő különbség az, hogy az RAA vírusnak nem kell az irányító szerverrel kommunikálni ahhoz, hogy titkosítsa a file-okat az áldozat számítógépen. Ahelyett, hogy mester kulcsot kér a vezérlő szervertől, a trójai maga generálja, titkosítja és menti el a kulcsot a fertőzött gépen.
[extracode type=”ad” id=”in_post”]
A kiberbűnözőknél van egy privát kulcs, ami dekódolja az egyedi titkosított kulcsot. Miután a váltságdíjat kifizették, a bűnözők megkérik a felhasználót, hogy küldje el a titkosított mester kulcsot, amit dekódolva küldenek vissza az áldozatnak egy dekódoló szoftverrel együtt. Ezt nyilvánvalóan azért gondolták ki így, hogy a vírus offline és online gépeket is titkosítani tudjon.
Jár mellé a Pony is
Sőt mi több az RAA zsarolóvírussal együtt az áldozat a Pony trójai vírust is megkapja. A Pony minden levelező programból képes jelszavakat lopni, amiket elküld a támadónak. A jelszavak segítségével a csalók a fertőzött felhasználók nevében terjeszthetik a vírust, így könnyebben meggyőzhető az áldozat, hogy az email valós. Az áldozat céges email címéről a vírus az összes üzleti partnert megfertőzheti. Azután a csalók kiválaszthatják és megtámadhatják a célszemélyeket.
„Úgy hisszük, hogy az RAA trójait azért fejlesztették ki, hogy vállalatokat célzó támadásokat hajtsanak végre” – mondja Fedor Sinitsyn, a Kaspersky Lab senior vírus elemzője.
A zsarolóvírus és jelszólopó együttes használata veszélyes fegyver a kiberbűnözők kezében, mert fokozza a pénzhez jutás esélyét. Egyrészt a vállalat kifizeti a váltságdíjat, másrészt új áldozatokat lehet megtámadni a Pony trójai vírus által gyűjtött azonosítókat felhasználva. Továbbá az offline titkosítás növeli az RAA új verziójának hatékonyságát” – teszi hozzá.
