eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plWiadomościTechnologieInternet › WildFire - nowy ransomware z polskim akcentem

WildFire - nowy ransomware z polskim akcentem

2016-08-26 10:11

WildFire - nowy ransomware z polskim akcentem

Ransomware © fot. mat. prasowe

PRZEJDŹ DO GALERII ZDJĘĆ (3)

Eksperci w dziedzinie cyberbezpieczeństwa prognozowali już od dawna, że bieżący rok upłynie pod znakiem zagrożeń typu ransomware. Tak się też stało. W efekcie tego w ubiegłym miesiącu holenderska policja, Europol oraz firmy Intel Security i Kaspersky Lab zwarły szyki, zawiązując No More Ransom. Pod tym hasłem kryje się projekt, w tym serwis online, który umożliwia ofiarom programów żądających okupu odzyskanie dostępu do zaszyfrowanych plików. Co więcej, są już pierwsze sukcesy tego przymierza.

Przeczytaj także: Ransomware: jak się chronić?

Ostatnim efektem współpracy jest zlokalizowanie i zamknięcie cyberprzestępczego serwera, który odpowiadał za infekowanie komputerów złośliwym oprogramowaniem o nazwie WildFire. Co interesujące, kod tego programu zawierał fragmenty, które pozwalają przypuszczać, że w procederze brał udział ktoś, kto w jakimś stopniu może być powiązany z naszym krajem.

Cyberprzestępcy stojący za szkodliwym programem WildFire wydają się koncentrować na użytkownikach z Holandii – przynajmniej 90% ofiar zidentyfikowano właśnie w tym kraju. Mechanizm infekcji jest typowy dla zagrożeń ransomware – atakujący podszywają się pod firmę transportową i wysyłają wiadomości e-mail ze zhakowanych serwerów. Odbiorca jest informowany, że dostawa przesyłki nie powiodła się i aby umówić się na nowy termin, musi otworzyć załączony dokument programu MS Word. Po uruchomieniu pliku i włączeniu obsługi makr (na ekranie pojawia się odpowiedni komunikat informujący, że jest to konieczne do wyświetlenia treści) szkodnik WildFire jest instalowany na komputerze ofiary i rozpoczyna się szyfrowanie plików. Następnie użytkownik widzi żądanie okupu z informacją, że za odzyskanie danych należy zapłacić równowartość około 300 dolarów. Jeżeli pieniądze nie dotrą do atakujących w ciągu ośmiu dni, kwota ta jest potrajana.

Specjaliści z holenderskiej policji zamknęli serwer kontrolowany przez cyberprzestępców stojących za operacją WildFire, zatem na chwilę obecną kolejni użytkownicy nie są atakowani. Zamiast żądania okupu ofiary szkodnika zobaczą informację, że cyberprzestępcy zostali powstrzymani i w celu odzyskania danych bez płacenia pieniędzy należy skorzystać z bezpłatnego narzędzia dostępnego w serwisie https://NoMoreRansom.org. Na chwilę obecną narzędzie obejmuje niemal 1 600 kluczy deszyfrujących, a kolejne zostaną dodane w najbliższym czasie.

fot. mat. prasowe

WildFire - żądanie okupu

Za hasło odszyfrowujące pliki cyberprzestępcy żądają 299$.


Polski akcent w kodzie szkodnika


Kod szkodliwego makra wykorzystywanego do pobierania szkodnika WildFire na komputery ofiar zawiera dwie ciekawostki. Pierwszą z nich jest fragment tekstu utworu „Money” zespołu Pink Floyd – jak widać, atakujący nie ukrywają faktu, że koncentrują się na zarabianiu pieniędzy. Ponadto kilka zmiennych w kodzie zapisano w języku polskim (np. „Czeladnik18”, „Czeladnik 12” czy „Czeladnik6”).

fot. mat. prasowe

WildFire - polski akcent

W kodzie szkodliwego programu znajdujemy słowo "czeladnik".


John Fokker, koordynator zespołu National High Tech Crime Unit (NHTCU) holenderskiej policji, powiedział:
„Przejęcie kluczy deszyfrujących szkodliwego programu WildFire po raz kolejny udowadnia, że walka z cyberprzestępczością, a szczególnie z ransomware, jest znacznie efektywniejsza dzięki współpracy różnych organizacji. Holenderska policja będzie w dalszym ciągu pomagać ofiarom tego typu zagrożeń, identyfikując serwery przestępców i udostępniając narzędzia umożliwiające bezpłatne odzyskanie zaszyfrowanych danych. Należy jednak pamiętać, że najskuteczniejszą metodą zabezpieczenia przed szkodliwymi programami ransomware pozostaje posiadanie aktualnej kopii zapasowej najcenniejszych informacji”.

„To kluczowe, by do walki z zagrożeniami ransomware przyłączyło się jak najwięcej organizacji z różnych sektorów” – komentuje Jornt van der Wiel, badacz ds. bezpieczeństwa IT, Globalny Zespół ds. Badań i Analiz (GReAT), Kaspersky Lab. „Robimy coraz większe postępy, jednak jest to dopiero początek i jestem przekonany, że dzięki bliskiej współpracy możemy osiągnąć znacznie więcej”.

NoMoreRansom.org


Dostępny bezpłatnie serwis NoMoreRansom.org zawiera narzędzia pozwalające odszyfrować dane ofiarom różnych rodzajów szkodliwych programów ransomware, które szyfrują pliki i żądają zapłacenia okupu. Serwis pomaga także w zidentyfikowaniu szkodliwego programu, który zablokował dostęp do danych użytkownika. Aby skorzystać z tych narzędzi, wystarczy wejść na stronę https://www.nomoreransom.org.
Więcej informacji na temat szkodliwych programów żądających okupu za odblokowanie dostępu do danych, wraz z poradami bezpieczeństwa, znajduje się na oficjalnym blogu Kaspersky Lab – Kaspersky Daily.

oprac. : eGospodarka.pl eGospodarka.pl

Przeczytaj także

Skomentuj artykuł Opcja dostępna dla zalogowanych użytkowników - ZALOGUJ SIĘ / ZAREJESTRUJ SIĘ

Komentarze (0)

DODAJ SWÓJ KOMENTARZ

Eksperci egospodarka.pl

1 1 1

Wpisz nazwę miasta, dla którego chcesz znaleźć jednostkę ZUS.

Wzory dokumentów

Bezpłatne wzory dokumentów i formularzy.
Wyszukaj i pobierz za darmo: