Aptiktas pirmasis savarankiškai besidauginantis šifratorius
Bendrovė „ESET“ perspėja apie naujo tipo „trojano-šifratoriaus“ su unikaliu failų užkrėtimo mechanizmu atsiradimą. Kenkėjiška programa vadinama „Win32/Virlock“.
Kaip ir kitų žinomi šifratoriai, „Virlock“ blokuoja užkrėsto kompiuterio darbalaukį, užkoduoja failus ir rodo išpirkos reikalavimą. Trojanas dirba su įvairiais failų tipais: .exe, .doc, .xls, .zip, .rar, .pdf, .ppt, .mdb, .mp3, .mpg, .png, .gif, .bmp, .p12, .cer, .psd, .crt, .pem, .pfx, .p12, .p7b, .wma, .jpg ir .jpeg. Be to „Virlock“ gali užkrėsti failus tinklo diskuose ir mobiliose laikmenose.
Be „tradicinių” funkcijų kenkėjiška programa gali užkrėsti failus kaip polimorfinis virusas, įrašydamas į juos savo kodą. Tam taikoma speciali schema. Vietoj įprasto šiam programinės įrangos tipui vieno baito šifravimo, ji konvertuoja failą į vykdomąjį. Tam „Virlock“ sukuria naują failą su koduotu dokumento turiniu ir savo kodu, ištrina originalų failą ir įrašo naują tuo pačiu pavadinimu, bet su plėtiniu .exe.
Užkrėstą failo paleidimą lydi dviejų naujų sukūrimas, kurie savo ruožtu toliau infekuoja sistemą. Polimorfizmas užtikrina programos unikalumą kiekviename apdorotame faile.
Šantažuotojo kodo dalis, atsakinga už vartotojo ekrano blokavimą, taiko jau tapusiais įprastais savigynos būdus, tame tarpe vartotojo sąsajos ir užduočių tvarkyklės procesų išjungimą. Blokavimo lango pranešimas rodo įspėjimą ir pasiūlymą sumokėti išpirką „Bitcoin“ valiutos 250 JAV dolerių ekvivalentu.
Įdomu, kad „Virlock“ gali atlikti tam tikrą blokavimo lango sąsajos lokalizaciją. Šiam tikslui naudojamas prijungimas prie google.com svetainės ir tolesnė domeno analizė, į kurį yra peradresuojamas vartotojas, pavyzdžiui, google.com.au, google.ca, google.co.uk arba google.co.nz. Tam naudojama „GetUserGeoID“ funkcija. Šalims, kurios atitinka minėtus domenus, rodoma šalies vėliava ir „Bitcoins“ vertė nacionaline valiuta.
Aptiktos keletas kenkėjiškos programos versijos. Pažymima, kad kai kurios aukos jau sumokėjo išpirką piktavaliams.
Šaltinis: www.eset.com