„Aktualizacja systemu do Windows 10” i CTB-Locker w spamie

3 sierpnia 2015

Jeśli jesteś jednym z tych użytkowników, którzy w najbliższym czasie spróbują zaktualizować swój system do Windows 10, powinieneś szczególnie uważać na fałszywe e-maile rozsyłane w imieniu Microsoftu. Przestępcy internetowi powołując się na Microsoft i na ostatnie problemy z dostępem do serwerów firmy, pomagają szczęściu i oferują darmową aktualizację systemu po pobraniu i uruchomieniu załącznika.

Według raportu McAfee Labs Threats Report May 2015, w roku 2015 zagrożenia typu ransomware zbierają swoje żniwa 165% razy częściej niż jeszcze dwanaście miesięcy temu. Najpopularniejsze z nich to CTB-Locker, Teslacrypt, nowe wersje CryptoWall’a, TorrentLocker’a i BandarChor’a. Jednak to ransomware z rodziny CTB okazały się najgroźniejsze, bowiem do komunikacji sieciowej z serwerem C2 wykorzystują sieć TOR, dzięki której zlokalizowanie i zdjęcie serwera C2 jest prawie niemożliwe.

Eksperci do spraw bezpieczeństwa z Cisco Talos Security przeanalizowali kilka z takich e-maili i okazało się, że spam zawiera załącznik ZIP, po wypakowaniu którego komputer zostanie zainfekowany zagrożeniem zwanym CTB-Locker. Zaszyfrowane zostaną wszystkie pliki wykonywalne.

Cyberprzestępcy w tym ataku postarali się o całkiem dobre sfałszowanie adresu e-mail (spoofing), który nawet po rozwinięciu adresata wygląda, jakby był wysłany z domeny microsoft.com – [email protected][.]com. Po dokładniejszym zbadaniu nagłówka wiadomości okazuje się, że adres IP z jakiego został wysłany spam został zarejestrowany w Tajlandii.

Także i stopka wiadomości może na pierwszy rzut oka sugerować, iż wiadomość jest bezpieczna i przeskanowana przez rozwiązanie antyspamowe MailScanner.

Nieznane dotąd próbki

  • Temat: Windows 10 Free Upgrade
  • Załącznik: Win10Installer.zip (w środku Win10Installer.exe)
  • SHA256: ec33460954b211f3e65e0d8439b0401c33e104b44f09cae8d7127a2586e33df4 (ZIP)
  • SHA256: aa763c87773c51b75a1e31b16b81dd0de4ff3b742cec79e63e924541ce6327dd (EXE)

Podczas szyfrowania danych ransomware wykorzystuje CryptoAPI do wygenerowania danych losowych jak i mechanizmy kryptografii krzywych eliptycznych (Elliptic Curve Cryptography – ECC), które na chwilę obecną powodują, że odzyskanie zaatakowanych w ten sposób danych jest niemożliwe. Ponadto, dzięki wykorzystaniu sieci TOR i krypto waluty Bitcoin kampania spamowa może pozostać animowa i trudna do wykrycia.

Ciekawe są także inne kwestie. Przeanalizowane próbki CTB-Lockera różnią się od innych wariantów, które napotkali badacze malware z Cisco Talos. Po pierwsze CTB faktycznie szyfruje pliki stosując ECC, po drugie CTB-Locker daje użytkownikom tylko 96 godzin na zapłacenie okup – co od dawna było standardem, ale kluczową różnicą jest sposób, w jaki malware komunikuje się z serwerem C2. Analizowana próbka CTB-Lockera do pozyskiwania adresów IP serwerów C2 wykorzystywała zainfekowane strony oparte o CMS WordPress, z kolei komunikacja zainfekowanej maszyny z adresami IP stron opartych o WordPress odbywa się na portach niestandardowych (9001, 443, 1443 i 666).

Jak się chronić?

W przypadku zagrożeń, które szyfrują dane, ochrona prewencyjna jest prawie jedynym i najlepszym wyjściem. Po pierwsze zawsze można skorzystać z najnowszego oprogramowania Arcabit, który za pomocą modułu SafeStorage w kilkanaście sekund przywróci zainfekowane pliki – nawet po ich zaszyfrowaniu, po drugie warto upewnić się, że oprogramowanie antywirusowe posiada piaskownicę automatyczną lub „na żądanie”, dzięki której „niepewne” pliki można będzie uruchomić w odizolowanym i bezpiecznym, zwirtualizowanym środowisku uruchomieniowym. Po trzecie backup – w chwilach grozy warto mieć kopię zapasową systemu / migawkę lub backup wszystkich najpotrzebniejeszych danych.

PODZIEL SIĘ:

Share on facebook
Share on twitter
Share on linkedin
Share on email
AUTOR: Adrian Ścibor
Redaktor prowadzący AVLab.pl i CheckLab.pl.
guest
Podaj porawny e-mail, aby dostać powiadomienie o odpowiedzi na Twój post.
0 komentarzy
Inline Feedbacks
View all comments

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

POLECANE PRODUKTY

YUBICO

Klucze zabezpieczające

SILNE UWIERZYTELNIANIE DWUSKŁADNIKOWE, WIELOSKŁADNIKOWE I BEZ HASŁA

ankieta

Czy w Twojej firmie używa się dwuskładnikowego logowania?
GŁOSUJ

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA E-MAIL I ZAWSZE BĄDŹ NA BIEŻĄCO!
zapisz się

POLECANE PRODUKTY

YUBICO

Klucze zabezpieczające

SILNE UWIERZYTELNIANIE DWUSKŁADNIKOWE, WIELOSKŁADNIKOWE I BEZ HASŁA

ankieta

Czy w Twojej firmie używa się dwuskładnikowego logowania?
GŁOSUJ