Ang Bitcoin Ransomware ay Kumakalat Ngayon sa pamamagitan ng Mga Spam Campaign

Ang mga security firm na McAfee Labs at Symantec ay naglabas ng mga babala na ang isang uri ng bitcoin-demanding ransomware, CTB-Locker, ay pinapalaganap na ngayon sa pamamagitan ng mga spam campaign.

Ang malware, ang pangalan nito ay nangangahulugang 'Curve Tor Bitcoin Locker', ay unang natukoy noong nakaraang taon. Gayunpaman, lumilitaw na medyo bagong pag-unlad ang diskarte sa pamamahagi ng spam.

Inilathala ito ng McAfee pinakabagong payo noong nakaraang linggo, inilalarawan ang CTB-Locker bilang isang anyo ng ransomware na nag-e-encrypt ng mga file sa target na computer. Iminumungkahi ng anecdotal na ebidensya na ang .jpg mga file ng larawan ay isang madalas na target. Ang biktima ay kailangang magbayad ng ransom para ma-decrypt ang mga file.

Sinabi ni Symantec sa isang kamakailang blog

na ang proseso ng pagharap sa Crypto malware ay "partikular na masamang pakitunguhan".

Paano ito gumagana

Sa pag-install, ang CTB-Locker ay nag-inject ng malisyosong code sa 'svchost.exe' na file, na gumagawa ng nakaiskedyul na gawain para sa paglipat at pag-encrypt ng mga file.

Ini-encrypt ng malware ang mga nakompromisong file gamit ang elliptical curve encryption, na mukhang katumbas ng RSA encryption na may 3,072- BIT key.

Kapag nakumpleto na ang pag-encrypt, ang gumagamit ay ipaalam sa pag-atake sa pamamagitan ng isang pop-up na mensahe ng ransom.

Ang mensahe ay nagpapakita ng 96 na oras na countdown. Kung hindi binayaran ng user ang Bitcoin ransom sa loob ng 96 na oras, masisira ang decryption key at mananatiling permanenteng naka-encrypt ang mga file.

Binibigyang-daan ng pop-up ang user na makita ang listahan ng mga naka-encrypt na file, kasama ang impormasyon kung paano magbayad at makuha ang decryption code.

Mga vector ng pagtuklas, impeksyon at pagpapalaganap

Nakita ng McAfee ang CTB-Locker sa ilalim ng tatlong magkakaibang pangalan: BackDoor-FCKQ, Downloader-FAMV at Injector-FMZ. Tinutukoy ng Symantec ang huling payload bilang Trojan.Cryptolocker.E.

Ang malware ay pinapalaganap sa pamamagitan ng mga kampanyang spam, bilang isang .zip archive na nakaimbak sa loob ng isa pang .zip file. Ang naka-zip na file ay naglalaman ng downloader para sa CTB-Locker.

Sa ngayon, natuklasan ng mga mananaliksik ang mga sumusunod na pangalang ginamit upang iimbak ang nag-download:

• malformed.zip
• plenitude.zip
• nagtatanong.zip
• simoniac.zip
• faltboat.zip
• walang lunas.zip
• payloads.zip
• dessiatine.zip

Bukod sa karaniwang mahusay na mga kasanayan sa seguridad (hal: hindi pagbubukas ng mga .zip na file mula sa hindi pinagkakatiwalaang mapagkukunan), naglathala ang McAfee ng ilang rekomendasyon upang mabawasan ang banta gamit ang mga produkto ng McAfee.

Nag-aalok din ang Symantec blog ng kapaki-pakinabang na impormasyon sa CTB-Locker para sa mga gumagamit ng Symantec na mga produkto ng seguridad.

Kung ang mga biktima ay ayaw o hindi makabayad ng ransom, halos walang paraan para mabawi ang mga naka-encrypt na file. Ang pinakamahusay na paraan upang mabawasan ang epekto ng isang potensyal na pag-atake ng Crypto ransomware ay ang regular na pag-backup ng mahahalagang file.

CTB-Locker pop-up larawan sa pamamagitan ng Symantec; Spam na larawan sa pamamagitan ng Shutterstock.