Ransomware MindLost nie wie czym jest Bitcoin, więc kradnie dane z karty płatniczej

Trzeba przyznać, że ransomware MindLost całkiem nieźle próbuje przyśpieszyć przejście przez cały ten proces płacenia okupu za odzyskanie danych, ale nad pewnymi aspektami cyberprzestępcy muszą jeszcze trochę popracować. Pierwsza analizy złośliwego oprogramowania sugerują, że jest do dopiero wersja rozwojowa wirusa. Ale wyjaśnijmy wszystko od początku.

Płacenie okupu w kryptowalucie Bitcoin zapewnia cyberprzestępcą całkiem wysoką anonimowość. Jest ona na tyle duża, że nie namierzenie właściciela portfela BTC to zadanie bardzo trudne. Bitcoin w odróżnieniu od Monero posiada wadę — można prześledzić historię wpłat i wypłat z konta właściciela portfela.

Gwarancja anonimowości jest dla cyberprzestępców niczym lep na muchy, czymś czego od bardzo dawna potrzebowali. Ze znaczną większością przypadków zaszyfrowania plików wiązała się konieczność zainstalowania przeglądarki Tor i odwiedzenia podanej strony, na której znajdowała się dalsza instrukcja. Później zrezygnowano z tego pomysłu. „How to” zostawiano w pliku TXT / HTML na dysku lokalnym z podanym numerem portfela do przelewu. Przestępcy zostawiali też na siebie namiary, zwykle był to mail, ale na kontakcie zależało bardziej ofiarom. Później zautomatyzowano ten proces, wiążąc numer identyfikacyjny zainfekowanego systemu z portfelem BTC.

Operowanie z kryptowalutami i kantorami wymiany sprawiało niektórym osobom niemałą trudność, dlatego już niedługo możemy zaobserwować nową technikę ataków powiązaną z  ransomware. Mianowicie ransomware będzie wyłudzać szczegółowe dane z karty płatniczej, czyli tak jak robi to pierwsza wersja ransomware MindLost.

Ransomware MindLost

MindLost po zaszyfrowaniu plików przekierowuje użytkownika do strony internetowej (w sieci Internet, nie Tor) celem zapłacenia okupu. Nie wiadomo, czy znaleziona próbka jest dopiero w fazie deweloperskiej / testowej (a wszystko na to wskazuje), ale wykorzystanie ransomware’u i phishingu w jednym ataku to pomysł całkiem niezły. Brakuje tylko dobrze przygotowanej strony z płatnościami, która powinna być zabezpieczona protokołem SSL. Ta sztuczka na pewno uśpiłaby czujność niejednego użytkownika. 

Ransomware MindLost szyfruje bardzo niewielką ilość typów plików, ograniczając się tylko do rozszerzeń:

.c
.jpg
.mp3
.mp4
.pdf
.png
.py
.txt

Przeszukiwanie plików realizowane jest tylko w katalogach:

Windows
Program Files
Program Files (x86)

Poddane wstecznej inżynierii ransomware MindLost ujawniło nam, że powyższy filtr nie jest jeszcze aktywowany, a ransomware szyfruje pliki tylko w lokalizacji "C:\Users".

Zaszyfrowane pliki otrzymują nowe rozszerzenie „.enc”, co oznacza, że na przykład „plik.docx” po zaszyfrowaniu będzie miało postać „plik.docx.enc”.

Jeżeli proces szyfrowania zostanie zakończony, to ransomware MindLost pobiera tapetę z ciągle aktywnego adresu URL:

hxxp://image.ibb.co/kO6xZ6/insane_uriel_by_urielstock_4.jpg

Tapeta ransomware MindLost

Dodatkowo ransomware MindLost zaszywa się w rejestrze systemowym, dodając się do autostartu systemu operacyjnego:

HKU\Administrator\Software\Microsoft\Windows\CurrentVersion\Run

W ostatnim etapie ransomware MindLost wyświetla stronę internetową „http://mindlost.azurewebsites[.] net”, na które ofiara „proszona” jest o wprowadzenie danych z karty kredytowej, aby zapłacić okup za odszyfrowanie plików.

Strona z okupem ransomware MindLost

Dziwne jest to, że MindLost nie żąda zapłaty w kryptowalucie. Zamiast tego cyberprzestępca podstawia fałszywą stronę z płatnościami online. Jak łatwo się domyślić ofiara nie przekaże pieniędzy na konto oszusta / słupa. Tak naprawdę nic się nie stanie do czasu, aż przestępca nie wyczyści konta bankowego ofiary — przekazanie poufnych danych karty płatniczej do tego prowadzi.

Ransomware MindLost w wersji rozwojowej

Trudno w to uwierzyć, że ransomware MindLost to dziwny jeszcze w wersji testowej. Nie tylko nie szyfruje większości znanych typów plików, i nie robi tego w obszarze całego dysku twardego, ale plik binarny szkodnika zawiera dziwne nazwy w kodzie. Jedną z takich ciągów znaków jest potencjalny autor wirusa — „Hi Daniel Ohayon”, chociaż to jeszcze o jeszcze nie świadczy. Ponadto kod ransomware posiada zahardkodowane na sztywno dane uwierzytelniające do zdalnej bazy danych ofiar!

Według badaczy z MalwareHunter wszystkie cztery próbki dostępne na VirusTotal są takie same. Możemy więc przypuszczać, że ransomware MindLost póki co jest jeszcze w fazie testowej, ale już niedługo możemy być świadkami jego pełnych możliwości.

Przestrzegamy Czytelników, aby zachowali ostrożność podczas wykonywania operacji kartą płatniczą. To prawda, że jest to bardzo bezpieczny sposób płatności w Internecie, ale licho nie śpi. Uważajcie na phishing i ransomware!



Zapoznaj się z naszą ofertą

Jeśli zajmujesz się sprzedażą rozwiązań zabezpieczających, jesteś dystrybutorem, autoryzowanym partnerem lub producentem i chciałbyś na portalu AVLab zaprezentować swoje portfolio gronu potencjalnych odbiorców, zareklamować wydarzenie, oprogramowanie, sprzęt lub inne usługi — po prostu napisz do nas. A może mialeś/aś do czynienia z ransomware? Pomagamy też w odszyfrowaniu plików.
Czytaj więcej