Svi dobro znamo da je ransomware najopasnija vrsta zlonamjernog softvera u posljednjih nekoliko godina. Kad je korisnik njime zaražen, sve se njegove osobne datoteke šifriraju algoritmom koji je praktički nemoguće razbiti. Međutim, sada su istraživači sigurnosti otkrili novi ransomware putem kojeg svatko može hakirati računalo gledatelja u TeamVieweru.
Ransomware je najopasnija vrsta zlonamjernog softvera u posljednjih nekoliko godina. Kad je korisnik zaražen njime, sve njegove osobne datoteke šifriraju se algoritmom koji je praktički nemoguće razbiti, a kasnije se od njih traži da plate "otkupninu" za oporavak datoteka ili, u suprotnom, svih datoteka bit će izgubljeni.
Najčešći načini distribucije ransomwarea su zlonamjerne reklamne kampanje, exploit setovi ili e-pošta, iako je oblik distribucije novog ransomwarea, poznat kao Surprise, uhvatio i korisnike i sigurnosne istraživače iznenađenje.
Iznenađenje, ime koje je dobilo ovaj ransomware za proširenje koje dodaje svim zaraženim datotekama, novi je ransomware koji je prvi put otkrio 10. ožujka nekoliko antivirusnih potpisa, razvijenih iz besplatnog EDA2 projekta, otvorenog ransomware koda koji je objavljen u obrazovne svrhe, ali kao i uvijek, koristi se za zlo.
Ovaj je ransomware, kao što mu samo ime govori, stigao iznenađenje za sve korisnike. Žrtve istog otkrile su da su odjednom, iz dana u dan, svi njihovi dosjei kodificirano dodavanjem nastavka ".surprise" na svim fotografijama, dokumentima i osobnim datotekama sustava. Nakon što zaraza završi, zlonamjerni softver ostavlja 3 datoteke na radnoj površini s potrebnim uputama za njihov oporavak. Autor ovog ransomwarea skriva se iza dva računa e-pošte, jednog u ProtonMailu, a drugog u Sigaintu.
Ovaj ransomware koristi algoritam AES-256 za šifriranje datoteka glavnim ključem RSA-2048, koji je pohranjen na poslužitelju daljinskog upravljanja. Ovaj zlonamjerni softver u stanju je otkriti 474 različitih formata datoteka kako bi ih šifrirao, sigurno izbrisao i spriječio njihov oporavak putem sigurnosnih kopija, osim ako nisu identično pohranjene na vanjskoj jedinici koja je bila odvojena od računala u vrijeme infekcija.
Da bi oporavio datoteke, haker traži uplatu od 0,5 Bitcoina, oko 786,25 USD, međutim, ovisno o tome vrsta i broj datoteka koje su šifrirane, plaćanje može iznositi oko 25 Bitcoina, otprilike $393124.88.
Nije poznato kako se haker uspio povezati s poslužiteljima TeamViewer za distribuciju iznenađenja. Sam ransomware ne čudi jer je otprilike kao i svaki drugi. Međutim, najzanimljivija stvar u vezi s tim je način zaraze korisnika.
Iako isprva nije bilo ništa jasno, kako se broj žrtava povećavao, mogao se uočiti obrazac i svi su u svoje sustave instalirali alat za daljinsko upravljanje TeamViewer. Analizirajući zapise ovog alata, sve su žrtve mogle vidjeti kako se neovlašteni korisnik povezao s njima računala, preuzeli su datoteku koja se naziva „iznenađenje.exe“ (ransomware) i izvršili je ručno, što je dovelo do infekcija.
Trenutno nije poznato kako se haker uspio daljinski povezati s računalima žrtve, iako postoje dvije moguće mogućnosti: -
Prva, iako malo komplicirana, jest da pirat ima ranjivost nula dana koja mu omogućuje daljinsko povezivanje s bilo kojim TeamViewer poslužiteljem. Službenici zaštite TeamViewer pregledali su njihov alat nakon prvih infekcija i osiguravaju da to nije moguće, što dovodi do druge mogućnosti.
Drugi i vjerojatno vjerojatniji je da koristi mrežni alat za skeniranje kako bi otkrio sve povezane TeamViewer poslužitelj i, nakon toga, uspijeva pristupiti sustavima svojih žrtava grubom silom napadi.
Obje zaštitarske tvrtke, kao što su Bleeping Computer i zaštitari TeamViewer, proučavaju slučaj kako bi ga se riješile osvijetlite kako je hakeru bilo moguće distribuirati ovaj novi ransomware putem ovog daljinskog upravljača alat.
Kako izravno preporučuje TeamViewer, ako želimo izbjeći iznenađenja, preporučljivo je zaštititi sesije TeamViewer složenom lozinkom, aktivirati dvostruku provjeru autentičnosti, redovito ažurirajte poslužitelj na najnoviju verziju i konačno, pobrinite se da računalni napad ne dolazi iz bilo koje druge grane (na primjer, drugi zlonamjerni softver instaliran u sustav).
Odgovorni za ovaj alat za daljinsko upravljanje također preporučuju da sve žrtve idu svojim odgovarajućim policijske uprave kako bi podnijeli izvještaj i mogli pomoći, koliko god je to moguće, da ih identificiraju odgovoran.
Također je poželjno ne plaćati, jer, čak i ako to učinimo, nemamo jamstvo za oporavak datoteka, pogotovo kada posljednji pingovi protiv C&C poslužitelja nisu odgovorili.
Što mislite o ovom novom ransomware-u i načinu zaraze? Jednostavno podijelite sve svoje stavove i razmišljanja u odjeljku za komentare u nastavku.