Nový kmen ransomware infikoval v Číně více než 100000 počítačů

Colvet Threat Intelligence System

Bezpečnostní experti ohlásili v Číně šíření nového škodlivého softwaru. Škodlivý kód napadl více než 100 000 počítačů za čtyři dny. Bohužel se počet infekcí rychle zvyšuje, protože hackeři napadli dodavatelský řetězec.

Je zajímavé poznamenat, že tento ransomware žádá oběti, aby zaplatili 110 juanů (téměř 14 EUR) za výkupné prostřednictvím WeChat Pay.

“Dne 1. prosince vypukla v zemi první vlna, kdy ransomware požadoval výplatu na “WeChat”. Podle monitorování a vyhodnocení systému “Colvet Threat Intelligence System” již večer 4. napadl virus nejméně 100 000 počítačů, a to nejenže zablokoval počítač,” uvádí analýza firmy Velvet Security. “Také krade informace o desítkách tisíc uživatelských hesel na platformách, jako jsou Taobao a Alipay.”

Oběti jsou vyzvány, aby zaplatili útočníkům výkupné do 3 dnů, aby obdrželi dešifrovací klíč. Pokud oběť v určitém čase nezaplatí výkupné, škodlivý kód odstraní dešifrovací klíč z C&C serveru.

Škodlivý kód také implementuje schopnost krádeže hesla, ransomware je schopen ukrást uživatelská oprávnění pro populární čínské služby, včetně Alipay, NetEase 163 e-mailové služby, Baidu Cloud Disk, Jingdong (JD.com), Taobao, Tmall, AliWangWang a QQ webů.

Ransomware také shromažďuje informace o infikovaném systému, včetně modelu CPU, rozlišení obrazovky, informací o síti a seznamu nainstalovaného softwaru.

Podle odborníků z Velvet Security hackeři narušili dodavatelský řetězec softwaru “EasyLanguage” používaného velkým počtem vývojářů aplikací.

Aby se zabránilo odhalení, autor hrozby podepsal kód důvěryhodným digitálním certifikátem vydaným společností Tencent Technologies a vyhnul se šifrování dat v některých konkrétních adresářích, například Tencent Games, League of Legends, tmp, rtl.

Dobrou zprávou pro oběti je, že odborníci dokázali ransomware “cracknout”; zjistili, že malware používá šifru XOR namísto DES k šifrování souboru a také ukládá kopii dešifrovacího klíče místně na systém oběti v následující cestě:

% uživatel% \ AppData \ roaming \ unname_1989 \ dataFile \ appCfg.cfg

Velvet odborníci vydali bezplatný nástroj pro dešifrování ransomwaru, který by mohl být použit k dešifrování dokumentů šifrovaných malwarem.

Odborníci přiřadili ransomware softwarovému programátorovi jménem “Luo” a oznámili vše čínským úřadům.

Zdroj: securityaffairs.co

Související články

Leave a Comment