Ransomware MindLost nie wie czym jest Bitcoin, więc kradnie dane z karty płatniczej

2 lutego, 2018

Trzeba przyznać, że ransomware MindLost całkiem nieźle próbuje przyśpieszyć przejście przez cały ten proces płacenia okupu za odzyskanie danych, ale nad pewnymi aspektami cyberprzestępcy muszą jeszcze trochę popracować. Pierwsza analizy złośliwego oprogramowania sugerują, że jest do dopiero wersja rozwojowa wirusa. Ale wyjaśnijmy wszystko od początku.

Płacenie okupu w kryptowalucie Bitcoin zapewnia cyberprzestępcą całkiem wysoką anonimowość. Jest ona na tyle duża, że nie namierzenie właściciela portfela BTC to zadanie bardzo trudne. Bitcoin w odróżnieniu od Monero posiada wadę — można prześledzić historię wpłat i wypłat z konta właściciela portfela.

Gwarancja anonimowości jest dla cyberprzestępców niczym lep na muchy, czymś czego od bardzo dawna potrzebowali. Ze znaczną większością przypadków zaszyfrowania plików wiązała się konieczność zainstalowania przeglądarki Tor i odwiedzenia podanej strony, na której znajdowała się dalsza instrukcja. Później zrezygnowano z tego pomysłu. „How to” zostawiano w pliku TXT / HTML na dysku lokalnym z podanym numerem portfela do przelewu. Przestępcy zostawiali też na siebie namiary, zwykle był to mail, ale na kontakcie zależało bardziej ofiarom. Później zautomatyzowano ten proces, wiążąc numer identyfikacyjny zainfekowanego systemu z portfelem BTC.

Operowanie z kryptowalutami i kantorami wymiany sprawiało niektórym osobom niemałą trudność, dlatego już niedługo możemy zaobserwować nową technikę ataków powiązaną z  ransomware. Mianowicie ransomware będzie wyłudzać szczegółowe dane z karty płatniczej, czyli tak jak robi to pierwsza wersja ransomware MindLost.

Ransomware MindLost

MindLost po zaszyfrowaniu plików przekierowuje użytkownika do strony internetowej (w sieci Internet, nie Tor) celem zapłacenia okupu. Nie wiadomo, czy znaleziona próbka jest dopiero w fazie deweloperskiej / testowej (a wszystko na to wskazuje), ale wykorzystanie ransomware’u i phishingu w jednym ataku to pomysł całkiem niezły. Brakuje tylko dobrze przygotowanej strony z płatnościami, która powinna być zabezpieczona protokołem SSL. Ta sztuczka na pewno uśpiłaby czujność niejednego użytkownika. 

Ransomware MindLost szyfruje bardzo niewielką ilość typów plików, ograniczając się tylko do rozszerzeń:

.c
.jpg
.mp3
.mp4
.pdf
.png
.py
.txt

Przeszukiwanie plików realizowane jest tylko w katalogach:

Windows
Program Files
Program Files (x86)

Poddane wstecznej inżynierii ransomware MindLost ujawniło nam, że powyższy filtr nie jest jeszcze aktywowany, a ransomware szyfruje pliki tylko w lokalizacji „C:\Users".

Zaszyfrowane pliki otrzymują nowe rozszerzenie „.enc”, co oznacza, że na przykład „plik.docx” po zaszyfrowaniu będzie miało postać „plik.docx.enc”.

Jeżeli proces szyfrowania zostanie zakończony, to ransomware MindLost pobiera tapetę z ciągle aktywnego adresu URL:

hxxp://image.ibb.co/kO6xZ6/insane_uriel_by_urielstock_4.jpg

Tapeta ransomware MindLost

Dodatkowo ransomware MindLost zaszywa się w rejestrze systemowym, dodając się do autostartu systemu operacyjnego:

HKU\Administrator\Software\Microsoft\Windows\CurrentVersion\Run

W ostatnim etapie ransomware MindLost wyświetla stronę internetową „http://mindlost.azurewebsites[.] net”, na które ofiara „proszona” jest o wprowadzenie danych z karty kredytowej, aby zapłacić okup za odszyfrowanie plików.

Strona z okupem ransomware MindLost

Dziwne jest to, że MindLost nie żąda zapłaty w kryptowalucie. Zamiast tego cyberprzestępca podstawia fałszywą stronę z płatnościami online. Jak łatwo się domyślić ofiara nie przekaże pieniędzy na konto oszusta / słupa. Tak naprawdę nic się nie stanie do czasu, aż przestępca nie wyczyści konta bankowego ofiary — przekazanie poufnych danych karty płatniczej do tego prowadzi.

Ransomware MindLost w wersji rozwojowej

Trudno w to uwierzyć, że ransomware MindLost to dziwny jeszcze w wersji testowej. Nie tylko nie szyfruje większości znanych typów plików, i nie robi tego w obszarze całego dysku twardego, ale plik binarny szkodnika zawiera dziwne nazwy w kodzie. Jedną z takich ciągów znaków jest potencjalny autor wirusa — „Hi Daniel Ohayon”, chociaż to jeszcze o jeszcze nie świadczy. Ponadto kod ransomware posiada zahardkodowane na sztywno dane uwierzytelniające do zdalnej bazy danych ofiar!

Według badaczy z MalwareHunter wszystkie cztery próbki dostępne na VirusTotal są takie same. Możemy więc przypuszczać, że ransomware MindLost póki co jest jeszcze w fazie testowej, ale już niedługo możemy być świadkami jego pełnych możliwości.

Przestrzegamy Czytelników, aby zachowali ostrożność podczas wykonywania operacji kartą płatniczą. To prawda, że jest to bardzo bezpieczny sposób płatności w Internecie, ale licho nie śpi. Uważajcie na phishing i ransomware!

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Zapisz się na newsletter

Informacje o cyberbezpieczeństwie prosto na skrzynkę pocztową!

Dodatkowo otrzymasz poradnik „Jak bezpiecznie funkcjonować w cyfrowym świecie”

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]