Nowa wersja ransomware Locky może działać w trybie offline

Twórcy szeroko rozprzestrzenionego ransomware Locky dodali mechanizm awaryjny w najnowszej wersji swojego programu w sytuacjach, gdy złośliwe oprogramowanie nie może osiągnąć swojego polecenia

Badacze bezpieczeństwa od producenta oprogramowania antywirusowego Avira znaleźli nowy wariant Locky'ego, który rozpoczyna szyfrowanie plików, nawet jeśli nie może zażądać unikalnego klucza szyfrowania od serwerów atakującego, ponieważ komputer jest w trybie offline lub zapora blokuje komunikację.

Dzwonienie do domu na serwer jest ważne dla programów ransomware, które używają kryptografii z kluczem publicznym. W rzeczywistości, jeśli nie będą mogli złożyć raportu na serwerze po zainfekowaniu nowego komputera, większość takich programów nie rozpocznie szyfrowania plików.

[Dalsze informacje: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]

Dzieje się tak dlatego, że procedura szyfrowania opiera się na unikalnych parach klucza publicznego i prywatnego generowanych przez serwery intruzów dla każdego komputera.

Po pierwsze, program ransomware generuje symetryczny klucz szyfrowania i używa algorytmu takiego jak AES (Advanced Encryption Standard) do szyfrować pliki. Następnie dociera do serwera kontroli i prosi serwer o wygenerowanie pary kluczy RSA dla nowo zainfekowanego komputera.

Klucz publiczny jest wysyłany z powrotem do programu ransomware i służy do szyfrowania szyfrowania AES klawisz. Klucz prywatny, który jest wymagany do odszyfrowania tego, co zaszyfrowany klucz publiczny, nigdy nie opuszcza serwera atakującego i jest kluczem, który uzyskują użytkownicy, gdy płacą okup.

Z powodu tego procesu niektóre infekcje ransomware mogą zostać uznane za nieskuteczne, jeśli zapora sieciowa wykrywa próbę połączenia i blokuje ją jako podejrzaną od samego początku.

Firmy mogą również szybko odciąć komputer z Internetu, jeśli zostanie wykryte wykrywanie ransomware w celu ograniczenia szkód. Mogą także tymczasowo przełączyć całą sieć w tryb offline, dopóki nie będą mogli sprawdzić, czy inne komputery również zostały dotknięte.

Te środki nie są już możliwe w przypadku Locky, jednego z najbardziej rozpowszechnionych zagrożeń ransomware nękających dziś użytkowników, z powodu zmian wprowadzonych w it.

Dobra wiadomość jest taka, że ​​Locky zacznie szyfrować pliki przy użyciu predefiniowanego klucza publicznego, który jest taki sam dla wszystkich ofiar offline. Oznacza to, że jeśli ktoś zapłaci okup i zdobędzie klucz prywatny, ten klucz będzie działał także dla wszystkich ofiar offline.

Badacze bezpieczeństwa z F-Secure zaobserwowali w tym tygodniu dwie masowe kampanie antyspamowe dystrybuujące Locky, z których jeden osiągnął 120 000 trafień spamem na godzinę, ponad 200 razy więcej niż w przypadku spamu w zwykły dzień, naukowcy powiedzieli w poście na blogu.

Obie kampanie rozpowszechniają wiadomości e-mail z fałszywymi załącznikami zip, które zawierają złośliwe pliki JavaScript. Używanie plików JavaScript do rozprzestrzeniania złośliwego oprogramowania stało się ulubionym narzędziem atakującym w ostatnich miesiącach. Takie pliki mogą być wykonywane w systemie Windows po wyjęciu z pudełka, bez specjalnego oprogramowania.