piątek, 22 listopada, 2024

Nasze serwisy:

Więcej

    Uwaga na fałszywe aktualizacje systemu Windows – to może być atak ransomware

    Zobacz również

    Analitycy z FortiGuard Labs, podmiotu firmy Fortinet zajmującego się badaniem i analizą zagrożeń, zidentyfikowali nowy wariant ransomware o nazwie Big Head, który pojawił się w maju 2023 roku i zaatakował systemy Windows. Chociaż istnieją co najmniej trzy jego rodzaje, to wszystkie mają na celu wyłudzenie pieniędzy poprzez szyfrowanie plików na komputerach ofiar. Większość próbek ransomware Big Head, które analizował zespół FortiGuard Labs, została przesłana ze Stanów Zjednoczonych.

    - Reklama -

    Inne oprogramowanie ransomware używane przez tego samego atakującego było przesłane również z USA oraz krajów europejskich. Inżynierowie z FortiGuard Labs poddali analizie dwa warianty ransomware Big Head, nazwane A i B.

    Wariant A szyfruje pliki

    • Po uruchomieniu wariantu A ransomware Big Head wyświetla fałszywy ekran aktualizacji systemu Windows, aby oszukać użytkowników, że na ich urządzeniu trwają „legalne” procesy, podczas gdy w tle działa złośliwe oprogramowanie.
    • Fałszywa aktualizacja trwa około 30 sekund i jest automatycznie zamykana. Zanim jednak proces zostanie zakończony, oprogramowanie ransomware zdąży zaszyfrować pliki na zainfekowanych komputerach i losowo zmienić ich nazwy.
    • Następnie ransomware otwiera notatkę z żądaniem okupu (tzw. ransom note) o nazwie „README_[losowa siedmiocyfrowa liczba].txt”, która żąda od ofiar skontaktowania się z atakującym za pośrednictwem poczty e-mail lub aplikacji Telegram w celu odszyfrowania plików.

    Wariant B – 1 bitcoin za odzyskanie danych

    Analizy FortiGuard Labs wykazały, że wariant B oprogramowania Big Head nie zaszyfrował żadnych plików w środowisku testowym, chociaż został do tego zaprojektowany. Jak wynika z badań, w celu uruchomienia szyfrowania plików wykorzystywany jest plik PowerShell o nazwie „cry.ps1”. Jednak w niektórych przypadkach nie trafia on na komputer ofiary i nie dochodzi do zaszyfrowania danych. 

    Nie powstrzymuje to jednak wariantu B przed zastąpieniem tapety pulpitu własną, zawierającą notatkę o konieczności zapłacenia okupu. Podobnie jak w wariancie A, notatka informuje o potrzebie kontaktu ofiary z atakującym przy użyciu tego samego adresu e-mail lub kanału na Telegramie. Jednak w notatce w wariancie B zawarta jest informacja o wysokości opłaty okupu, która wynosi jednego Bitcoina, czyli ponad 120 tys. zł. 

    Wariant C?

    Zespół FortiGuard Labs zidentyfikował również inny wariant oprogramowania ransomware. Na podstawie portfela Bitcoin i adresu e-mail stwierdzono, że był prawdopodobnie używany przez tego samego atakującego. To oprogramowanie ransomware zostało również przesłane do publicznie dostępnej usługi skanowania plików w maju 2023 r., czyli w tym samym miesiącu, w którym udostępniono wersje A i B ransomware Big Head. Trzeci analizowany przez FortiGuard Labs wariant ransomware szyfruje pliki i dołącza kontaktowy adres e-mail atakującego „poop69new@[usunięto]” do nazw plików. Zastępuje również tapetę pulpitu własną, która zawiera notatkę o konieczności zapłacenia okupu.

    Jak reagować na ransomware?

    Takie instytucje jak CISA (Cybersecurity & Infrastracture Security Agency) czy FBI ostrzegają ofiary ataków ransomware przed płaceniem okupu, ponieważ płatność nie gwarantuje odzyskania plików. Zdaniem reprezentujących organy ścigania autorów porad, opłacanie okupów może również ośmielić przestępców do atakowania większej liczby podmiotów, zachęcić inne instytucje przestępcze do dystrybucji oprogramowania ransomware lub sfinansować potencjalnie nielegalne działania. 

    Chcąc zminimalizować ryzyko zainfekowania komputera oprogramowaniem ransomware trzeba pamiętać o podstawowych zasadach cyberhigieny, jak nieklikanie w linki w wiadomościach phishingowych czy pobieranie aplikacji tylko z oficjalnych stron producentów. Eksperci przypominają też, że incydenty związane z naruszeniem cyberbezpieczeństwa można zgłaszać na stronie CERT.

    ŹródłoFortinet
    guest
    0 komentarzy
    najnowszy
    najstarszy oceniany
    Inline Feedbacks
    View all comments
    - Reklama -

    Najnowsze

    Dołącz ze SkyCash do programu Mastercard Bezcenne Chwile

    Bezcenne Chwile to wyjątkowy program, w którym płatności pracują na Ciebie! Płać kartą Mastercard zarejestrowaną w programie w aplikacji SkyCash...