Το Ransomware ‘Surprise’ διαδίδεται μέσω TeamViewer!

Καθαρισμός εσωτερικού laptop
30 Μαρτίου, 2016

Μια νέα οικογένεια ransomware ανακαλύφθηκε τις τελευταίες εβδομάδες, το οποίο μολύνει τους υπολογιστές μέσω του προγράμματος TeamViewer και στη συνέχεια κρυπτογραφεί όλα τα δεδομένα, προσθέτοντας τη επέκταση «.surprise» σε όλα τα αρχεία.

Τα πρώτα σημάδια της νέας αυτής ransomware μόλυνσης εντοπίστηκαν στο φόρουμ Bleeping Computer, ένα κοινό ιστότοπο στην Αγγλική γλώσσα, όπου συνήθως απευθύνονται χρήστες που ζητάνε βοήθεια.

Όσοι έχουν πέσει θύματα της μόλυνσης έχουν ανακαλύψει με έκπληξη ότι τα αρχεία τους είναι κρυπτογραφημένα και απροσπέλαστα και ότι υπάρχουν τρία νέα επιπλέον αρχεία στους επιτραπέζιους υπολογιστές τους. Αυτά τα νέα αρχεία περιέχουν μηνύματα που ζητάνε λύτρα, και ενημερώνουν το χρήστη ότι τα αρχεία του είναι πλέον κρυπτογραφημένα, και για να τα πάρει πίσω θα πρέπει να επικοινωνήσει με τον προγραμματιστή του ransomware μέσω δύο διευθύνσεων ηλεκτρονικού ταχυδρομείου, τα nowayout@protonmail.com και nowayout@sigaint.org.

Οι εγκληματίες ζητούν 0,5 Bitcoin (~ $200) αλλά αναφέρουν ότι, ανάλογα με το περιεχόμενο των κρυπτογραφημένων αρχείων του χρήστη, τα λύτρα μπορούν πολύ εύκολα να ανέλθουν σε 25 Bitcoin (~ $10,000), αν χρειαστεί.

Τεχνικά, το συγκεκριμένο ransomware δεν ήταν κάτι το ιδιαίτερο σε σχέση με τα ομοιειδή προγράμματα που έπληξαν πρόσφατα το διαδίκτυο. Το λεγόμενο Surprise ransomware χρησιμοποιεί έναν αλγόριθμο AES-256 για να κρυπτογραφήσει τα αρχεία, και στη συνέχεια, ένα RSA-2048 για να εξασφαλίσει τα κλειδιά κρυπτογράφησης κάθε αρχείου με ένα κύριο κλειδί το οποίο φορτώνεται σε ένα C&C εξυπηρετητή.

To ransomware στοχεύει σε 474 διαφορετικές επεκτάσεις αρχείων και χρησιμοποιεί αρχεία δέσμης για να κάνει shadow αντίγραφο του σκληρού δίσκου, καθιστώντας τη διαδικασία αυτόματης ανάκτησης αδύνατη, εκτός εάν ο χρήστης αποθηκεύει τα ίδια αρχεία σε έναν εξωτερικό δίσκο ως αντίγραφο ασφαλείας.

Αλλά αυτό που παρατηρήθηκε καθώς όλο και περισσότερος κόσμος μολυνόταν, ήταν ότι στην εν λόγω μόλυνση υπήρχε ένα μοτίβο. Σχεδόν όλες οι λοιμώξεις εμφανίστηκαν σε υπολογιστές που είχαν εγκαταστασεί το TeamViewer, μια εφαρμογή των Windows που μπορεί να χρησιμοποιηθεί για να δημιουργήσει μια σύνδεση μεταξύ δύο υπολογιστών και επιτρέπει σε ένα χρήστη να ελέγχει απομακρυσμένα ένα υπολογιστή.

Το πρόγραμμα TeamViewer συνήθως χρησιμοποιείται σε κέντρα υποστήριξης και είναι ευρέως διαδεδομένο μεταξύ των απλών χρηστών γιατί στην μη εμπορική χρήση του είναι εντελώς δωρεάν.

Τα θύματα του ransomware surprise παρατήρησαν ότι όλοι είχαν εγκατεστημένο το TeamViewer. Αναζήτησαν τις κίνησεις στα αρχεία καταγραφής του TeamViewer και ανακάλυψαν ότι κάποιος με πρόσβαση στον υπολογιστή τους μέσω αυτού, είχε κατεβάσει το αρχείο suprise.exe (το εκτελέσιμο αρχείο με την μόλυνση), και στη συνέχεια το είχε εκτελέσει στον υπολογιστή τους.

surpriseran surprise

Επί του παρόντος, δεν υπάρχουν λεπτομέρειες σχετικά με το πώς ήταν προσβάσιμοι αυτοί οι υπολογιστές μέσω TeamViewer, αλλά υπάρχουν δύο πιθανές εξηγήσεις. Η μία είναι η παρουσία ενός zero-day bug στο TeamViewer που οι απατεώνες χρησιμοποίησαν για να ανοίξουν τις συνδέσεις και να τοποθετήσουν το ransomware τους.

Αυτό το σενάριο είναι λίγο παρατραβηγμένο, κυρίως επειδή τα zero-day σφάλματα απαιτούν πολλή επιδεξιότητα και ιδιαίτερες τεχνικές γνώσεις. Όσοι χρησιμοποιούν τα απλοϊκά backdoored ransomware σίγουρα δεν έχουν τα προσόντα να δουλέψουν με zero-day.

Η δεύτερη εξήγηση είναι ότι ο εισβολέας σαρώνει το διαδίκτυο για τις προσβάσιμες εγκαταστάσεις TeamViewer και στη συνέχεια χρησιμοποιεί μία σειρά από κωδικούς πρόσβασης ελπίζοντας στην τύχη του αλλά και στην ασχετοσύνη του θύματος να έχει ένα τετραψήφιο κωδικό τύπου 1234.

Comments are closed.

Visit Us On FacebookVisit Us On Linkedin