Nazwa „ransomware” pochodzi z języka angielskiego i jest połączeniem dwóch słów: ransom, czyli okup oraz software (oprogramowanie), czyli oprogramowanie żądające okupu. Dotychczas kojarzone z szyfrowaniem plików, baz danych, a nawet tablic MFT systemu plików, co uniemożliwiało uruchomienie Windows. Eksperci ds. bezpieczeństwa, trenerzy, a także każdy użytkownik, powinni wziąć poprawkę na ransomware i zacząć uświadamiać oraz przywyknąć, że ta konkretna rodzina złośliwego oprogramowania ewoluuje, tak jak cały cyber-przestępczy świat.
Ransomware FTCODE wykorzystuje prymitywne techniki rozprzestrzeniania oraz infekowania systemów operacyjnych. Szkodnika FTCODE analizowano już w 2013 roku, ale teraz zyskał ciekawe funkcjonalności — kradzież danych z:
- Internet Explorer
- Mozilla Firefox
- Mozilla Thunderbird
- Google Chrome
- Microsoft Outlook
Ransomware rozsyłany jest przez spam, a ta konkretna wersja, która potrafi kraść informacje z przeglądarek oraz klienta poczty Thunderbird, najwięcej nieuważnych użytkowników polubiła we Włoszech.
Wspomnieliśmy o prymitywnych metodach szyfrowania oraz kradzieży, ponieważ ransomware FTCODE, tak jak znaczna część szkodliwego oprogramowania, używa PowerShella do uruchamiania złośliwego skryptu VBScript. Bez uprawnień do powłoki PowerShell ma „związane ręce”.
Pełna lista rozszerzeń szyfrowanych rozszerzeń plików znajduje się na obrazku poniżej:
W przeglądarce Internet Explorer wykradane są poświadczenia oraz historia przeglądania z:
HKCU:\Software\Microsoft\Internet Explorer\IntelliForms\Storage2
W przypadku Firefox i Thunderbird szkodnik wyszukuje poświadczenia logowania w lokalizacjach:
SystemDrive\Program Files\Mozilla Firefox SystemDrive\Program Files\Mozilla Thunderbird SystemDrive\Program Files (x86)\Mozilla Firefox SystemDrive\Program Files (x86)\Mozilla Thunderbird
Ransomware z Google Chrome kradnie loginy oraz hasła:
\%UserProfile%\AppData\Local\Google\Chrome\User Data\*\Login Data.
Dla Outlooka poświadczenia są zapisane w:
HKCU:\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\*\9375CFF0413111d3B88A00104B2A6676\* HKCU:\Software\Microsoft\Office\1[56].0\Outlook\Profiles\*\9375CFF0413111d3B88A00104B2A6676\*
Po wszystkim ransomware umieszcza notkę o okupie „READ_ME_NOW.htm”, która zapisywana jest w każdym katalogu zawierającym zaszyfrowane pliki. Nota zawiera instrukcje dotyczące pobierania przeglądarki Tor Browser i postępowania zgodnie z wytycznymi.
Jak się chronić?
Ransomware FTCODE może być szczególnie groźne dla przedsiębiorstw, które korzystają z wyżej wymienionych programów do komunikacji z klientami. Eksperci, którzy przeanalizowali zagrożenie, twierdzą, że z czasem przestępcy mogą uzupełniać funkcjonalność szkodnika o nowe zdolności np. „integralność” z oprogramowaniem używanym przez konkretne firmy, przez co ransomware może być użyte do ataku na wyselekcjonowane organizacje. Powagę zagrożenia stopniuje fakt, że ransomware nie tylko szyfruje pliki, ale i próbuje wykradać konkretne informacje logowania, a także historię przeglądanych stron.
Organizacje powinny korzystać z renomowanych rozwiązań zabezpieczających stacje robocze. Administratorzy, którzy zarządzają środowiskiem podpiętym do serwera domenowego, mogą na wszystkich komputerach z Windows wyłączyć dostęp do powłoki PowerShell. Tylko tym jednym sposobem można uodpornić organizację nawet na 98% złośliwego oprogramowania krążącego po sieci.
