WildFire Locker to nowy ransomware z polskim akcentem

24 sierpnia, 2016

W ubiegłym miesiącu holenderska policja, Europol oraz firmy Intel Security i Kaspersky Lab zawiązały współpracę pod szyldem No More Ransom, zakładając serwis online, który umożliwia odzyskanie dostępu do plików ofiarom szkodliwych programów żądających zapłacenia okupu (tzw. ransomware). Najnowszym efektem współpracy jest zlokalizowanie i zamknięcie cyberprzestępczego serwera odpowiedzialnego za infekowanie komputerów szkodliwym programem WildFire. Co ciekawe, kod szkodliwego programu posiada fragmenty napisane w języku polskim. 

Cyberprzestępcy stojący za szkodliwym programem WildFire wydają się koncentrować na użytkownikach z Holandii – przynajmniej 90% ofiar zidentyfikowano właśnie w tym kraju.

Mechanizm infekcji jest typowy dla zagrożeń ransomware – atakujący podszywają się pod firmę transportową i wysyłają wiadomości e-mail ze zhakowanych serwerów. Odbiorca jest informowany, że dostawa przesyłki nie powiodła się i aby umówić się na nowy termin, musi otworzyć załączony dokument programu MS Word.

Po uruchomieniu pliku i włączeniu obsługi makr (na ekranie pojawia się odpowiedni komunikat informujący, że jest to konieczne do wyświetlenia treści) szkodnik WildFire jest instalowany na komputerze ofiary i rozpoczyna się szyfrowanie plików.

Następnie użytkownik widzi żądanie okupu z informacją, że za odzyskanie danych należy zapłacić równowartość około 300 dolarów. Jeżeli pieniądze nie dotrą do atakujących w ciągu ośmiu dni, kwota ta jest potrajana. 

klp wildfire zadanie okupu
Komunikat o żądaniu zapłacania okupu.

Specjaliści z holenderskiej policji zamknęli serwer kontrolowany przez cyberprzestępców stojących za operacją WildFire, zatem na chwilę obecną kolejni użytkownicy nie są atakowani. Zamiast żądania okupu ofiary szkodnika zobaczą informację, że cyberprzestępcy zostali powstrzymani i w celu odzyskania danych bez płacenia pieniędzy należy skorzystać z bezpłatnego narzędzia dostępnego w serwisie https://NoMoreRansom.org 

Na chwilę obecną narzędzie obejmuje niemal 1 600 kluczy deszyfrujących, a kolejne zostaną dodane w najbliższym czasie.

Polski akcent w kodzie szkodnika

Kod szkodliwego makra wykorzystywanego do pobierania szkodnika WildFire na komputery ofiar zawiera dwie ciekawostki. Pierwszą z nich jest fragment tekstu utworu „Money” zespołu Pink Floyd – jak widać, atakujący nie ukrywają faktu, że koncentrują się na zarabianiu pieniędzy. Ponadto kilka zmiennych w kodzie zapisano w języku polskim (np. „Czeladnik18”, „Czeladnik 12” czy „Czeladnik6”). 

klp wildfire polski akcent
Zdeklarowane odwołania w języku polskim

Czy ten artykuł był pomocny?

Oceniono: 0 razy

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Zapisz się na newsletter

Informacje o cyberbezpieczeństwie prosto na skrzynkę pocztową!

Dodatkowo otrzymasz poradnik „Jak bezpiecznie funkcjonować w cyfrowym świecie”

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]