Chimera, nowy ransomware ujawni listę wszystkich zaszyfrowanych plików w sieci

8 grudnia, 2015

Eksperci bezpieczeństwa z firmy Trend Micro przeanalizowali złośliwe oprogramowanie z rodziny ransomware o nazwie Chimera, które jest wykrywane przez programy antywirusowe Trend Micro w nomenklaturze Ransom_CRYPCHIM.A
 
Czym Chimera różni się od znanych innych krypto-ransomware, takich jak TeslaCrypt, TorrentLocker, Cryptolocker? Na razie wiadomo, że występuje w dwóch wersjach językowych – niemieckim i angielskim. Potrafi nie tylko zaszyfrować pliki, ale po upłynięciu ultimatum czasowego w jakim ofiara powinna zapłacić okup, Chimera może wysłać informację o zaszyfrowanych plikach do cyberprzestępcy.

chimera1
 
Ale spokojnie. O ile w tym przypadku nie ma lekarstwa na niekontrolowany wyciek danych (mowa o komputerach domowych, w firmach przydadzą się wszelkie rozwiązania IPS, DLP), eksperci z Trend Micro twierdzą, że Chimera nie wysyła ani samych plików, ani też ich zawartości. Jednak analiza w procesie debugowania i wstecznej inżynierii ujawniła, że o ile szkodliwe oprogramowanie nie ma możliwości wysyłania całych plików, to na razie nic nie wiadomo na temat przekazywania do serwera C2 kontrolowanego przez cyberprzestępcę informacji z listą zaszyfrowanych plików i ich ścieżkami dostępu. Można więc przypuszczać, że Chimera potrafi wysłać „jedynie” (lub „aż”) listę zaszyfrowanych plików i to już wystarczy, by opublikować nazwy tych dokumentów w sieci, które mogą wskazywać na informacje o kontrahentach, listy płac, czy inne wrażliwe dane, które w połączeniu z adresami IP firmy, mogą być odsprzedane zainteresowanym w sieci TOR lub Darknecie.
 
Płacić, czy nie płacić?
 
Jeżeli ofiara zdecyduje się zapłacić okup w wysokości około 1BTC (~1500 PLN) – czego oczywiście nie zalecamy (nigdy nie ma pewności, czy odzyskacie pliki) – będzie poinstruowana, by pobrać oprogramowanie Decryptor, które pozwoli odszyfrować dane.
 
chimera41
 
Decryptor zawiera również oprogramowanie BitMessage, które po zatwierdzeniu płatności wyświetla komunikat zawierający ID ofiary i klucz deszyfrujący potrzebny decryptorowi do odzyskania plików.
 
Pamiętajcie, że plików po zaszyfrowaniu nie da się odzyskać, o ile nie posiadacie ich kopii zapasowej. Warto zabezpieczyć się na przyszłość, bowiem nigdy nie wiadomo, co Wasz niewykwalifikowany pracownik może znaleźć w załączniku.
 
Hashe znanych próbek Chimery: 

  • 806a8b0edee835c0ff1bb566a3cb92586354fec9
  • 8b91f3c4f721cb04cc4974fc91056f397ae78faa
  • a039ae3f86f31a569966a94ad45dbe7e87f118ad
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Kliknij na gwiazdkę, aby zagłosować!

Średnia ocena: 0 / 5. Liczba głosów: 0

Jak na razie nikt nie podzielił się opinią.

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]