. Keluarga Ransomware berasaskan bersih menyulitkan fail pengguna melalui sumber terbuka pracetak

Computer Security News

Pakar Keselamatan Zscaler mengingatkan bahawa dua yang baru ini didapati. Ransomware berasaskan bersih keluarga akan menyulitkan fail pengguna dengan menggunakan kod sumber terbuka.

Keluarga malware dipanggil Vortex dan BUGWARE dan mereka telah melihat dalam serangan secara langsung yang dijalankan melalui e-mel spam yang mengandungi URL yang berniat jahat.

Vortex dan BUGWARE adalah kedua-duanya disusun dalam Microsoft perantaraan Bahasa (MSIL) dan penuh dengan packer ‘Confuser’ yang kononnya.

Menurut analisis Zscaler’s, Vortex ditulis dalam Bahasa Poland dan ia menggunakan AES-256 cipher untuk menyulitkan imej, audio, video, dokumen dan fail-fail data berpotensi penting yang lain pada komputer mangsa.

Begitu juga kepada varian ransomware lain, Vortex jatuh Nota tebusan sebaik sahaja ia selesai proses penyulitan, memaklumkan kepada mangsa tentang bagaimana mereka boleh memulihkan data mereka dan cara untuk menghantar pembayaran fidyah.

Ransomware ini membenarkan pengguna nyahsulitkan dua fail mereka secara percuma dan menuntut tebusan $100, yang mungkin meningkat kepada $200 dalam masa empat hari. Mangsa malware diminta untuk menghubungi hacker melalui alamat e-mel Hc9@2.pl atau Hc9@goat.si.

Sedang dipasang ke dalam sistem, Vortex ransomware yang cuba untuk mencapai pengekalan mencipta kemasukan daftaran, serta kekunci daftaran yang dinamakan “AESxWin.” Selain itu, perisian berniat jahat yang perasan untuk menghapuskan salinan bayang yang menghalang pengguna daripada mengambil semula data mereka tanpa perlu membayar fidyah tersebut.

Semasa perisian berniat jahat kepada arahan dan kawalan (C & C) komunikasi analisis, pakar-pakar Keselamatan dikesan malware menghantar maklumat sistem dan meminta kata laluan API yang digunakan untuk Kekunci enkripsi dan menyampuk dekripsi.

Menurut Zscaler, Vortex ransomware adalah berdasarkan AESxWin – utiliti freeware penyulitan dan menyampuk dekripsi dihoskan di GitHub dan dibangunkan oleh pemaju Mesir Eslam Hamouda. Sebab itu, fail tersulit boleh dinyahsulit menggunakan AESxWin jika kata laluan yang digunakan untuk enkripsi telah diketahui.

BUGWARE ransomware berasaskan sumber terbuka kod tersembunyi air mata, yang telah dieksploit untuk mencipta keluarga ransomware lain beberapa waktu yang lalu.

BUGWARE juga menggunakan satu sijil sah yang berpura-pura menjadi bagi GAS INFORMATICA LTDA, meminta mangsa dengan membayar menyamai seribu reals Brazil di Monero.

Ransomware dalam membuat senarai laluan untuk menyulitkan dan kedai-kedai itu di dalam fail yang dinamakan Criptografia.pathstoencrypt dan mencari semua perkhidmatan rangkaian tetap, dan pemacu boleh alih, menambah semua laluan tersebut ke dalam senarai.

Pakar-pakar juga mendapati bahawa BUGWARE adalah menjana Kekunci enkripsi dan menggunakan algoritma AES 256-bit enkripsi fail pengguna, serta menamakan semula fail dienkripsikan. Kekunci AES disulitkan juga menggunakan kekunci awam RSA, dan kekunci base64 dikodkan akan disimpan di dalam daftaran.

Untuk mencapai pengekalan, BUGWARE ransomware mencipta kekunci jalanan yang memastikan ia dilaksanakan setiap kali pengguna log masuk ke dalam komputer. Dalam kes malware yang mengesan sebarang pemacu boleh alih keluar, ia jatuh satu salinan dirinya pada mereka, dinamakan “fatura-vencida.pdf.scr.”

Di samping itu, BUGWARE menukar latar desktop mangsa menggunakan fail imej yang dimuat turun dari “i[.]imgur.com/NpKQ3KZ.jpg.”


Leave a Reply

Your email address will not be published. Required fields are marked *