Hakerzy korzystają z ransomware'a KeyPass do ręcznych ataków

Nowy wariant KeyPassa z funkcjami ręcznymi zauważona w ponad dwudziestu krajach

Badacze z laboratoriów Kaspersky ogłosili raport o nowym wariancie ransomware'a KeyPass, który krąży po świecie od 8 sierpnia. Malware uzyskał nową funkcję, która pozwala atakujący modyfikować kod wirusa zdalnie, pozwalając im na modyfikację procedury szyfrującej.

Eksperci zauważyli, ze wirus ma na swoim koncie już ponad 100 ofiar, w większości z krajów rozwijających się. Najwięcej ofiar znajduje się w Brazylii (19.5% przypadków) i Wietnamie (14.6%). Wśród ofiar są też użytkownicy z Algerii, Indii, Iranu, wraz z kilkoma infekcjami we Francji i Niemczech.

Nie wiadomo zbytnio, jak KeyPass rozpowszechnia się – niektórzy użytkownicy informowali, że próbowali pobrać program do crackowania KMSpico. Inni zaś twierdzili, że nie instalowali nic na swoich komputerach przed atakiem malware.

Sposób działania trojana KeyPass

Wirus KeyPass jest odmianę ransomware'a STOP, który pojawił się w lutym 2017 roku. Tak szybko, jak malware pojawi się na urządzeniu, kopiuje swój plik wykonywalny do folderu %LocalAppData% i usuwa się po ukończeniu procesu infekowania. Przed samousunięciem, malware kopiuje swój proces na kilka innych lokacji w komputerze. Chwilę później, ransomware zaczyna skanować urządzenie po kątem plików do szyfrowania:

KeyPass enumerates local drives and network shares accessible from the infected machine and searches for all files, regardless of their extension. It skips files located in a number of directories, the paths to which are hardcoded into the sample.

Wirus następnie próbuje połączyć się ze swoim serwerem kontrolnym, by uzyskać osobiste ID o klucz szyfrujący, który potem może zostać wykorzystany do odzyskania wszystkich danych.

KeyPass korzysta z szyfru AES-256, by szyfrować pliki i dodaje rozszerzenie .KEYPASS, czyniąc dane osobiste bezużytecznymi. Dodatkowo, zostawia żądanie okupu !!!KEYPASS_DECRYPTION_INFO!!!.txt w każdym z zaatakowanych folderów. Hakerzy domagają się 300 dolarów w Bitcoinach i sugerują, że kwota wzrośnie, jeśli okup nie zostanie zapłacony w ciągu 72 godzin.

W wypadku, gdy nie udało się nawiązać połączenia bądź serwer kontrolny wirusa jest niedostępny, malware zacznie szyfrować z pomocą domyślnego klucza oraz ID, co pozwala na prostsze odzyskanie danych.

Funkcja ręcznej kontroli pozwala hakerom na przygotowywanie kierowanych, niebezpiecznych ataków

Trojan KeyPass zawiera domyślnie ukryty formularz. Może być on jednak udostępniony poprzez wciśnięcie określonego przycisku na klawiaturze. Specjaliści z Kaspersky'ego twierdzą, że funkcja ta pozwala hakerom na uzyskanie ręcznej kontroli nad złośliwą aplikacją.

Podczas, gdy ukryta funkcja niee znaczy zbyt wiele dla ofiary, haker może skorzytać z niej, by ręcznie zmienić parametry malware'a, wliczając w to:

  • ID ofiary;
  • Rozszerzenie pliku;
  • Nazwę pliku z żądaniem okupu;
  • Treść żądania okupu;
  • Klucz szyfrujący, itd.

Znaczy to, że wysokość okupu może być także zmieniona.

Ransomware jest jednym z niebezpiecznych typów malware i rozpowszechnia się od 2013 roku, w którym został wydany CryptoLocker. Pojawiły się także botnety, które znacznie ułatwiły żywot malware'ów. Niektóre wirusy tylko blokowały ekran wyświetlając fałszywą wiadomość podszywającą się na wydaną przez FBI lub Policję – inne, tak jak WannaCry i Petya niweczyły operacje kilku sporych organizacji i instytucji rządowych na kilka dni. Szkody wielu firm zostały obliczone na miliony dolarów.

Dlatego też ransomware wciąż jest jednym z największych cyberzagrożeń – użytkownicy powinni podjąć odpowiednie kroku, by uniknąć ataków.

O autorze
Lucia Danes
Lucia Danes - Ekspert od wyszukiwania wirusów.

Skontaktuj się z autorem
O firmie Esolutions

Przeczytaj także w innych językach
Pliki
Software
Porównaj