Ransomware "Hitler": tylko 60 minut na okup za odzyskanie plików

Przeczytaj także: Ransomware szyfruje, firmy płacą

"Hitler-ransonware" (sic) wzorem innych cyberszantaży infekuje komputer ofiary odcinając jej dostęp do określonych zasobów, a potem żąda okupu za ich przywrócenie. W przeciwieństwie jednak do popularnych zagrożeń typu Locky, Cryptowall czy Petya, "Hitler" nie szyfruje danych zarażonej maszyny. Zamiast tego przeszukuje 11 folderów systemu Windows wyszukując m.in. zdjęcia i filmy użytkownika, jego dokumenty, pliki mp3 oraz wszystkie elementy pulpitu, a potem usuwa ich rozszerzenia. Następnie wyświetla użytkownikowi blokadę ekranu (tzw. lock screen) ze zdjęciem Adolfa Hitlera w geście nazistowskiego pozdrowienia, mającym zapewne dodatkowo nastraszyć poszkodowanego. Tekst blokady informuje o konieczności wpłaty haraczu za odzyskanie swoich danych i zaczyna odmierzać 60 minut, po których nieposłuszna ofiara bezpowrotnie utraci swoje pliki. Okupem w tym wypadku jest wpisanie kodu aktywującego wirtualną kartę podarunkową Vodafone o wartości 25EUR. Po upływie wyznaczonego czasu bez odnotowania wpłaty ransomware restartuje komputer, a następnie usuwa pozbawione rozszerzeń pliki, wyłączając przy okazji wszystkie procesy - jak taskmgr, utilman, sethc czy cmd - jakich użytkownik mógłby próbować użyć do zatrzymania złośliwego pliku.

Analitycy sugerują, że wykryte zagrożenie jest na razie wariantem próbnym, o czym otwarcie informuje jego twórca w komentarzu "Das ist ein Test" ukrytym w wewnętrznym pliku programu. Również błąd w samej nazwie zagrożenia - "Hitler-Ransonware" - może sugerować, że autor wirusa zaprojektował lock screen jedynie roboczo. Z kolei brak mechanizmów szyfrujących mogą tłumaczyć dwie hipotezy. Po pierwsze - cyberprzestępca może dopiero planować wprowadzenie silnika szyfrującego, co w świetle sukcesów wspomnianych zagrożeń nie byłoby zaskakujące. Po drugie - być może autor zagrożenia po prostu tego nie potrafi, więc zamiast szyfrowania sięgnął po stosunkowo niegroźne usuwanie rozszerzeń, dla wzmocnienia efektu stawiając na szokującą treść i rekordowo skracając czas na wpłatę okupu. W zestawieniu z najgroźniejszymi próbkami ransomware zagrożenie wygląda dość amatorsko, jednak prawdopodobnie wiele wystraszonych ofiar nie zdąży w wyznaczoną godzinę dojść do tego wniosku.

Jak zabezpieczyć się przed podobnymi atakami radzi Krystian Smętek, inżynier systemowy firmy ANZENA specjalizującej się w rozwiązaniach StorageCraft ShadowProtect SPX do backupu i szybkiego przywracania danych:

- Unikajmy otwierania nieoczekiwanych załączników, nie klikajmy podejrzanych linków, aktualizujmy system, używane programy oraz antywirusa i na wszelki wypadek wyłączmy makra w pakiecie Office. Ale i tak najważniejszy jest dobry backup naszych danych. Jeśli wszystko inne zawiedzie to kopia bezpieczeństwa uratuje efekty naszej pracy. Niezależnie od tego, czy będzie to studenckie zaliczenie, czy dwa dni działania bazy danych sklepu internetowego.

Dlaczego użytkownik powinien się martwić nawet wczesną formą "Hitlera"? Bo intencje jego autora pokazują, że cyberprzestępcy będą grać coraz ostrzej. W nowym zagrożeniu czas na wpłatę haraczu to 60 minut - bardzo niewiele w porównaniu z dość "tradycyjną" w świecie ransomware dobą, a trudno oczekiwać, by agresorzy nie poszli jeszcze dalej. Coraz krótszy czas na reakcję i szokujące treści to dwa elementy, do których należy dodać rosnące zobojętnienie cyberprzestępców. Warto przypomnieć lipcowe zagrożenie Ranscam, które bezpowrotnie kasowało pliki, obiecując mimo wszystko ich zwrot po wpłacie okupu. Jeżeli finalna forma "Hitlera" i podobnych zagrożeń będą równie obojętne wobec pokrzywdzonych to o bezpieczeństwo swoich danych warto się zatroszczyć jeszcze mocniej, niż dotychczas.