Malware de tip ransomware

Ransomware este un software malițios care încearcă să sustragă bani de la utilizatori, în principal prin blocarea activității acestora pe sistemele pe care lucrează. Activitatea acestui tip de malware nu este o noutate , dar în ultimul timp a apărut un trend bazat pe un malware de tip ransomware calificat de către specialiști drept sinistru.

Mai precis, în locul utilizării trucurilor obișnuite pentru a bloca activitatea utilizatorul , ransomware-ul de tip crypto blocheză accesul la diferite fișiere (documente, fotografii, muzică, filme etc.) prin criptarea acestora. O astfel de tactică îngreunează foarte mult procesul de recuperare a fișierelor din moment ce simpla dezinfecție nu mai este de ajuns.

Sophos Labs a analizat eșantioane Ransomware care folosesc o astfel de tehnică. În momentul infectării, malware-ul caută anumite fișiere specifice (folosind o listă cu peste 110 de extensii .doc, .jpg, .pdf etc.), le criptează, apoi le redenumește cu o extensie .BLOCKAGE. Următorul pas este afișarea unui mesaj de răscumpărare pentru utilizator.

În decursul criptării fișierelor, malware-ul transmite către serverele de comandă și control o copie a cheii. Un motiv serios de îngrijorare este acela că atacatorii nu mint atunci când anunță că doar ei pot decripta fișierele respective. De fapt, malware-ul folosește o criptografie de tip public-key, care reprezintă același tip de criptare ”one-way” (asimetric) care permite utilizatorilor să cumpere online sau să acceseze serviciile de banking online.

Malware-ul generează în mod aleatoriu o cheie de criptare unică de fiecare dată când infectează un computer, pe care o folosește pentru a cripta fișierele (utilizând algoritmul AES-256). Mai apoi criptează cheia folosind o cheia publică a atacatorilor.

Mai mult la CERT-RO