VIRY.CZ

Syndikovat obsah
Když se havěť stává obětí
Aktualizace: 7 hodin 25 min zpět

Satan: Vyrob si svoji havěť!

27 Leden, 2017 - 21:53

Před pár dny se na nějakém tom „underground“ fóru objevil reklamní příspěvek o „továrně“ na havěť s názvem Satan. Bez větších zkušeností si tak může kdokoliv vyrobit vlastní ransomware, rozšířit ho a inkasovat peníze od obětí, které chtějí svoje zašifrovaná data zpět.

Tak jak se už v minulosti objevoval pojem „malware as a service“ (havěť jako služba), nyní tu máme ukázkový „ransomware as a service“ nazvaný Satan. Z principu fungování ransomware se u této služby neřeší žádný vstupní poplatek, neboť vydělávání peněz je hlavním účelem této havěti a děje se tak velice přímočaře („zaplať, nebo příjdeš o data“). Služba tak rovnou příchází se systémem provize, kdy si útočníci nechají 30% z každého úspěšného útoku (resp. z plateb od obětí) a škodolibým uživatelům služby předají 70%, opět ve formě bitcoinů.

Ale hezky od začátku. Pokud by chtěl někdo škodit okolí, přejde na webovou stránku služby Satan (TOR). Zde se zaregistruje a následně přihlásí. Po přihlášení se ocitne na záložce „Malwares“, kde si může havěť na „zakázku“ vyrobit. Určí si výši „výpalného“ v BTC, kterou bude požadovat po oběti zaplatit (70% z té částky ve výsledku vyinkasuje), včetně případného zdražování po uplynutí definované doby („akční cena“). Níže pak stačí stisknout tlačítko „Create new“ a úplně dole stáhnout čerstvý EXE soubor s havětí na míru!

Přihlášení do Satana…

Vytváření havěti, část 1

Vytváření havěti, část 2

Druhá záložka Droppers pak pomůže s vytvářením „vypouštěče“ havěti. Účelem je znesnadnění detekce ze strany antivirů (zakódování havěti) a distribuce jinou formou, než v klasickém EXE souboru. Nabízen je postup distribuce skrze .CHM soubor a skrze .DOCX Wordovský dokument. Zde je využit klasický trik s automakrem, podobně jako ve starší havěti s názvem Locky. Distribuce havěti tak probíhá s využitím souboru s příponou DOC/DOCX. Otevření dokumentu ve Wordu + trocha nepozornosti pak vede ke spuštění havěti. Forma distribuce ale pochopitelně není omezena na možnosti záložky Droppers.

Na záložce Translate se nabízí havěť počeštit. Instrukce o zaplacení a další informace se pak oběti zobrazí třeba právě v českém jazyce.

Na záložce Account jsou k vidění statistické informace, především pak počet úspěšných infekcí (=obětí) a množství vybraných peněz. Zároveň se zde uživatel vyplní vlastní bitcoinovou peněženku, kam pak případné výdělky (70% z ceny) odchází.

Samotný ransomware pak na PC oběti zašifruje snad vše, co mu příjde pod ruce, včetně RAR a ZIP archivů a pochopitelně všech fotografií z dovolených. Soubory dostanou další příponu .stn. Informace o celé situaci se zobrazí oběti v prohlížeči, včetně odkazů pro zaplacení výpalného. To je pochopitelně ve výši, kterou určil uživatel služby Satan. BTC peněženka směřuje přímo na autora / autory služby Satan, tak aby si mohli ponechat zmíněnou provizi 30%.

Některé obrázky pocházejí ze serveru www.bleepingcomputer.com, neboť havěť pozná přítomnost virtuálního prostředí a svoji činnost předčasně ukončí. A já zde momentálně žádný reálný počítač k testům nemám.

Závěrem tak doufám alespoň v nešikovnost „uživatelů“ této služby, kteří si při neopatrné manipulaci s havětí zašifrují vlastní počítač a raději další pokusy o šíření vzdají

Kategorie: Viry a Červi

Konference AEC Security 2017 i o ransomwaru

15 Leden, 2017 - 12:45

Tradiční konference SECURITY slaví v letošním roce své jubileum. Uskuteční se již po pětadvacáté. Za dobu své existence si našla pevné místo v kalendářích českých a slovenských bezpečnostních manažerů, specialistů a auditorů. V loňském roce přivítala více než pět set účastníků a svojí velikostí patří mezi největší IT security akce na našem území.

Pokud tak chcete načerpat plno zajímavých informací i na téma havěti a vyděračských praktik ransomware (jednu z přednášek mám já), zaregistrujte se na konferenci Security 2017, která se koná ve čtvrtek 23. února 2017 v Clarion Congress Hotel Prague, Freyova 33, Praha 9.

Hlavní témata:

  • GDPR
  • Ransomware + analýza malware
  • IoT Security
  • Privilege Access Management

The post Konference AEC Security 2017 i o ransomwaru appeared first on VIRY.CZ.

Kategorie: Viry a Červi