Ransomware: Od szyfrowania po kradzież danych z Firefox, Chrome, Outlook i Thunderbird

21 stycznia, 2020

Nazwa „ransomware” pochodzi z języka angielskiego i jest połączeniem dwóch słów: ransom, czyli okup oraz software (oprogramowanie), czyli oprogramowanie żądające okupu. Dotychczas kojarzone z szyfrowaniem plików, baz danych, a nawet tablic MFT systemu plików, co uniemożliwiało uruchomienie Windows. Eksperci ds. bezpieczeństwa, trenerzy, a także każdy użytkownik, powinni wziąć poprawkę na ransomware i zacząć uświadamiać oraz przywyknąć, że ta konkretna rodzina złośliwego oprogramowania ewoluuje, tak jak cały cyber-przestępczy świat.

Ransomware FTCODE wykorzystuje prymitywne techniki rozprzestrzeniania oraz infekowania systemów operacyjnych. Szkodnika FTCODE analizowano już w 2013 roku, ale teraz zyskał ciekawe funkcjonalności — kradzież danych z:

  • Internet Explorer
  • Mozilla Firefox
  • Mozilla Thunderbird
  • Google Chrome
  • Microsoft Outlook

Ransomware rozsyłany jest przez spam, a ta konkretna wersja, która potrafi kraść informacje z przeglądarek oraz klienta poczty Thunderbird, najwięcej nieuważnych użytkowników polubiła we Włoszech.

Wspomnieliśmy o prymitywnych metodach szyfrowania oraz kradzieży, ponieważ ransomware FTCODE, tak jak znaczna część szkodliwego oprogramowania, używa PowerShella do uruchamiania złośliwego skryptu VBScript. Bez uprawnień do powłoki PowerShell ma „związane ręce”.

Pełna lista rozszerzeń szyfrowanych rozszerzeń plików znajduje się na obrazku poniżej:

Ransomware FTCODE - Lista szyfrowanych rozszerzeń plików.

W przeglądarce Internet Explorer wykradane są poświadczenia oraz historia przeglądania z:

HKCU:\Software\Microsoft\Internet Explorer\IntelliForms\Storage2

W przypadku Firefox i Thunderbird szkodnik wyszukuje poświadczenia logowania w lokalizacjach:

SystemDrive\Program Files\Mozilla Firefox
SystemDrive\Program Files\Mozilla Thunderbird
SystemDrive\Program Files (x86)\Mozilla Firefox
SystemDrive\Program Files (x86)\Mozilla Thunderbird

Ransomware z Google Chrome kradnie loginy oraz hasła:

\%UserProfile%\AppData\Local\Google\Chrome\User Data\*\Login Data.

Dla Outlooka poświadczenia są zapisane w:

HKCU:\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\*\9375CFF0413111d3B88A00104B2A6676\* 
HKCU:\Software\Microsoft\Office\1[56].0\Outlook\Profiles\*\9375CFF0413111d3B88A00104B2A6676\*

Po wszystkim ransomware umieszcza notkę o okupie „READ_ME_NOW.htm”, która zapisywana jest w każdym katalogu zawierającym zaszyfrowane pliki. Nota zawiera instrukcje dotyczące pobierania przeglądarki Tor Browser i postępowania zgodnie z wytycznymi.

Notatka z okupem od ransomware FTCODE.

Jak się chronić?

Ransomware FTCODE może być szczególnie groźne dla przedsiębiorstw, które korzystają z wyżej wymienionych programów do komunikacji z klientami. Eksperci, którzy przeanalizowali zagrożenie, twierdzą, że z czasem przestępcy mogą uzupełniać funkcjonalność szkodnika o nowe zdolności np. „integralność” z oprogramowaniem używanym przez konkretne firmy, przez co ransomware może być użyte do ataku na wyselekcjonowane organizacje. Powagę zagrożenia stopniuje fakt, że ransomware nie tylko szyfruje pliki, ale i próbuje wykradać konkretne informacje logowania, a także historię przeglądanych stron.

Organizacje powinny korzystać z renomowanych rozwiązań zabezpieczających stacje robocze. Administratorzy, którzy zarządzają środowiskiem podpiętym do serwera domenowego, mogą na wszystkich komputerach z Windows wyłączyć dostęp do powłoki PowerShell. Tylko tym jednym sposobem można uodpornić organizację nawet na 98% złośliwego oprogramowania krążącego po sieci.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Kliknij na gwiazdkę, aby zagłosować!

Średnia ocena: 0 / 5. Liczba głosów: 0

Jak na razie nikt nie podzielił się opinią.

guest
0 komentarzy
Inline Feedbacks
View all comments

Zapisz się na newsletter i odbierz unikatowy poradnik

„Jak bezpiecznie funkcjonować w cyfrowym świecie”

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]