Ένα νέο ransomware εμφανίστηκε, με επιπτώσεις πολύ πιο δυσάρεστες από ό,τι των άλλων trojan της κατηγορίας του, αφού έχει την ικανότητα να κρυπτογραφεί τα αρχεία του υπολογιστή που μολύνει!
Συνήθως τα ransomware, εμφανίζουν ένα μήνυμα στον μολυσμένο υπολογιστή τού χρήστη το οποίο υποστηρίζει ότι το PC έχει χρησιμοποιηθεί σε εγκληματική πράξη ή κατά κάποιον τρόπο βρίσκεται σε κίνδυνο, κλειδώνοντας το σύστημα και ζητώντας την καταβολή κάποιου ποσού για να διορθωθεί το πρόβλημα. Χαρακτηριστικότερα, είναι αυτά που αναφέρουν ότι το PC κλειδώθηκε από την αστυνομία. Το ποσό αυτό βέβαια είναι τα λύτρα για τους απατεώνες…
Το νέο αυτό trojan λειτουργεί εντελώς διαφορετικά και πιο ακόμη πιο ύπουλα και εκβιαστικά επεμβαίνοντας σε αρχεία του χρήστη. Δημιουργεί δύο κρυπτογραφημένα κλειδιά με βάση το ID του μολυσμένου υπολογιστή και τροποποιεί τα ctfmon.exe ή svchost.exe ώστε να τρέχει στο παρασκήνιο χωρίς να το ανιχνεύουν.
Το πρώτο κλειδί κρυπτογραφεί την επικοινωνία με τον C&C server από τον οποίο παίρνει εντολές, ενώ το δεύτερο που χρησιμοποιείται για το κλείδωμα αρχείων αποστέλλεται και αποθηκεύεται στον server. Κατόπιν ο server εντοπίζει και κρυπτογραφεί διάφορα αρχεία όπως εικόνες, έγγραφα και εκτελέσιμα με το συγκεκριμένο κλειδί. Ο χρήστης ενημερώνεται για το κλείδωμα των αρχείων του τα οποία όμως δε μπορούν να επανέρθουν στην κανονική τους κατάσταση χωρίς το κλειδί που τα κρυπτογράφησε.
Τα αρχεία μένουν ανέπαφα, αλλά για να αποκρυπτογραφηθούν ο χρήστης θα πρέπει να καταβάλει το ποσό που ζητούν οι απατεώνες για να τα ξεκλειδώσουν με το κλειδί που έχουν στο server τους…
Το πρώτο αντίστοιχο ransomware το οποίο είχε στόχο επιχειρήσεις είχε αναφερθεί το 2005(!) και πλέον, φαίνεται πως ήρθε η ώρα του μαζικού εκβιασμού τελικών χρηστών.