Chimera, nowy ransomware ujawni listę wszystkich zaszyfrowanych plików w sieci

8 grudnia 2015

Eksperci bezpieczeństwa z firmy Trend Micro przeanalizowali złośliwe oprogramowanie z rodziny ransomware o nazwie Chimera, które jest wykrywane przez programy antywirusowe Trend Micro w nomenklaturze Ransom_CRYPCHIM.A
 
Czym Chimera różni się od znanych innych krypto-ransomware, takich jak TeslaCrypt, TorrentLocker, Cryptolocker? Na razie wiadomo, że występuje w dwóch wersjach językowych – niemieckim i angielskim. Potrafi nie tylko zaszyfrować pliki, ale po upłynięciu ultimatum czasowego w jakim ofiara powinna zapłacić okup, Chimera może wysłać informację o zaszyfrowanych plikach do cyberprzestępcy.


 
Ale spokojnie. O ile w tym przypadku nie ma lekarstwa na niekontrolowany wyciek danych (mowa o komputerach domowych, w firmach przydadzą się wszelkie rozwiązania IPS, DLP), eksperci z Trend Micro twierdzą, że Chimera nie wysyła ani samych plików, ani też ich zawartości. Jednak analiza w procesie debugowania i wstecznej inżynierii ujawniła, że o ile szkodliwe oprogramowanie nie ma możliwości wysyłania całych plików, to na razie nic nie wiadomo na temat przekazywania do serwera C2 kontrolowanego przez cyberprzestępcę informacji z listą zaszyfrowanych plików i ich ścieżkami dostępu. Można więc przypuszczać, że Chimera potrafi wysłać „jedynie” (lub „aż”) listę zaszyfrowanych plików i to już wystarczy, by opublikować nazwy tych dokumentów w sieci, które mogą wskazywać na informacje o kontrahentach, listy płac, czy inne wrażliwe dane, które w połączeniu z adresami IP firmy, mogą być odsprzedane zainteresowanym w sieci TOR lub Darknecie.
 
Płacić, czy nie płacić?
 
Jeżeli ofiara zdecyduje się zapłacić okup w wysokości około 1BTC (~1500 PLN) – czego oczywiście nie zalecamy (nigdy nie ma pewności, czy odzyskacie pliki) – będzie poinstruowana, by pobrać oprogramowanie Decryptor, które pozwoli odszyfrować dane.
 

 
Decryptor zawiera również oprogramowanie BitMessage, które po zatwierdzeniu płatności wyświetla komunikat zawierający ID ofiary i klucz deszyfrujący potrzebny decryptorowi do odzyskania plików.
 
Pamiętajcie, że plików po zaszyfrowaniu nie da się odzyskać, o ile nie posiadacie ich kopii zapasowej. Warto zabezpieczyć się na przyszłość, bowiem nigdy nie wiadomo, co Wasz niewykwalifikowany pracownik może znaleźć w załączniku.
 
Hashe znanych próbek Chimery: 

  • 806a8b0edee835c0ff1bb566a3cb92586354fec9
  • 8b91f3c4f721cb04cc4974fc91056f397ae78faa
  • a039ae3f86f31a569966a94ad45dbe7e87f118ad

PODZIEL SIĘ:

Share on facebook
Share on twitter
Share on linkedin
Share on email
AUTOR: Adrian Ścibor
Redaktor prowadzący AVLab.pl i CheckLab.pl.
guest
0 komentarzy
Inline Feedbacks
View all comments

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

POLECANE PRODUKTY

YUBIKEY

Klucze zabezpieczające

100% ochrony przed phishingiem

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA E-MAIL I ZAWSZE BĄDŹ NA BIEŻĄCO!
zapisz się

POLECANE PRODUKTY

YUBICO

Klucze zabezpieczające

SILNE UWIERZYTELNIANIE DWUSKŁADNIKOWE, WIELOSKŁADNIKOWE I BEZ HASŁA