Bezpečnostní experti objevili nový malware, nazvaný Anatova ransomware, který byl zaznamenán infikováním počítačů po celém světě a domnívají se, že je testován prototyp a má potenciál stát se vážnou hrozbou.

Anatova ransomware vyčkává se svou schopností způsobit zmatek a infikovat síťové sdílené složky, má modulární strukturu, která umožňuje přidávání nových funkcí malwaru.

“Během našeho nepřetržitého hledání nových hrozeb jsme objevili novou rodokmenovou rodinu nazývanou Anatovou (založenou na názvu výkupného). Anatova byla objevena v soukromé síti peer-to-peer (p2p). “

Anatova používá ikonu hry nebo aplikace k nalákání oběti ke stažení a spuštění ransomwaru.

Malware využívá manifest, aby požádal o práva administrátora, implementuje několik účinných ochranných technik proti statické analýze, provádí několik kontrol, aby nedošlo k běhu v sandboxu.

Malware vyžaduje výkupné 700 dolarů za dešifrování dat.

Nejvíce infekcí bylo zaznamenáno ve Spojených státech, následovalo Německo, Belgie, Francie a Spojené království. Zajímavé je, že malware neinfikuje systémy ze seznamu zemí, které zahrnují všechny státy SNS, Sýrie, Egypt, Maroko, Irák a Indie.

Aplikace ransomware vyhledává soubory menší než 1 MB a zabraňuje šifrování souborů operačního systému. Anatova také kontroluje síťová sdílení, což je obzvláště nebezpečné u velkých organizací, protože jediná infekce může způsobit vážné problémy několika systémům v podnikové síti.

Každý vzorek Anatova používá vlastní klíč, což znamená, že není k dispozici žádný hlavní klíč, který by mohl být použit k dešifrování všech souborů obětí.

Po zašifrování souborů ransomware vyčistí paměť klíčů, IV a soukromých hodnot klíčů RSA, aby se zabránilo tomu, že někdo tyto informace vytáhne z paměti a použije k dešifrování souborů.

Zdroj: securityaffairs.co