ESET: Štafetu po odstavenom ransomwari TeslaCrypt prebral Crysis

Ďalší článok

Neslávne známy ransomware TeslaCrypt, ktorý bol jedným z mnohých ransomwarov šifrujúcich údaje na infikovaných zariadeniach, skončil so svojou činnosťou pred viac než dvoma týždňami. Aj napriek tomu však operátori škodlivých kódov, ktorí za odšifrovanie zablokovaných údajov žiadajú výkupné, nestratili na sile. Po vlnách infekcií škodlivými kódmi JS/TrojanDownloader.Nemucod a JS/Danger.ScriptAttachment, ktoré zasiahli aj Slovensko a do infikovaných zariadení sťahovali verzie ransomwaru Locky, by sa mohlo zdať, že práve Locky preberie územie opustené TeslaCryptom. Štatistiky ESET LiveGrid však hovoria niečo iné. Podľa nich je novým hráčom na trhu Win32/Filecoder.Crysis. „Naše analýzy ukazujú, že tento ransomware dokáže šifrovať súbory na pevných, vymeniteľných i sieťových diskoch. Zároveň používa silné šifrovacie algoritmy,“ vysvetľuje Ondrej Kubovič, špecialista na digitálnu bezpečnosť zo spoločnosti ESET. Počas výskumu videl ESET viacero spôsobov, ktorými sa tento škodlivý kód šíri. „Vo väčšine prípadov sa ransomware Crysis distribuuje ako príloha spamových e-mailov, konkrétne použitím dvojitej prípony. Použitím tejto jednoduchej ale efektívnej metódy sa spustiteľné súbory javia ako nespustiteľné,“ vysvetľuje Kubovič. Ďalší spôsob, ktorý používajú útočníci na šírenie tohto malwaru, je maskovanie škodlivých súborov za neškodné inštalátory viacerých legitímnych aplikácií. Tie následne šíria cez viaceré weby a zdieľané siete. Svoju vytrvalosť ukazuje Crysis aj tým, že prestaví hodnoty registrov tak, aby bol spustený po každom štarte. Po spustení Crysis na zariadení zašifruje všetky typy súborov (aj tie bez prípony), bez zmeny ponechá len nevyhnutné súbory operačného systému a samotného škodlivého kódu. Trójsky kôň zozbiera názov počítača a niekoľko zašifrovaných súborov a pošle ich na vzdialený server, ktorý kontrolujú útočníci. V niektorých verziách operačného systému Windows sa pokúša spúšťať sám seba s administrátorskými právami, čim rozširuje zoznam súborov, ktoré môže zašifrovať. Po ukončení šifrovania umiestni na pracovnú plochu súbor s názvom How to decrypt your files.txt (Ako si odšifrujete súbory). Prvotná informácia obsahuje len dve e-mailové adresy na útočníkov. Po naviazaní kontaktu dostane obeť inštrukcie aj s výškou výkupného, ktoré sa pohybuje v hodnote od 400 do 900 eur. Obeť ich má uhradiť prostredníctvom digitálnej meny BitCoin. Ak ste jednou z obetí odstaveného ransomwaru TeslaCrypt, spoločnosť ESET vytvorila bezplatný dešifrovací nástroj, ktorý vám pomôže dostať sa späť k svojim súborom. O spoločnosti ESET Spoločnosť ESET je svetovým výrobcom bezpečnostného softvéru pre firemnú klientelu a domácnosti. Je lídrom na trhu proaktívnej detekcie počítačových hrozieb. Vďaka technológii Live Grid® využíva ESET dáta od dobrovoľných používateľov z celého sveta, a tak okamžite reaguje na nové hrozby. ESET drží vďaka zisku 80. ocenenia VB100 v júli 2013 rekord v počte týchto ocenení, ktoré udeľuje britský Virus Bulletin, vysoko-rešpektovaná nezávislá testovacia organizácia. ESET sídli v Bratislave, regionálne pobočky má v Prahe, ČR; Jene, Nemecko; San Diegu, USA; Buenos Aires, Argentína; Sydney, Austrália a Singapure. Výskumné centrá ESET pre analýzu malware sú okrem Bratislavy, aj v San Diegu, v Prahe, poľskom Krakove a kanadskom Montreale. ESET má zastúpenie vo viac ako 180 krajinách sveta. Firma už jedenásť rokov za sebou patrí podľa rebríčka Deloitte Technology Fast 500 EMEA medzi najrýchlejšie rastúce technologické spoločnosti v regióne Európy, Blízkeho východu a Afriky. Týždenník Trend ocenil ESET trikrát za sebou titulom Firma roka.