Locky ransomware, nova offline varijanta

Istraživači iz Malwarebytes Labs-a izvršili su analizu varijante Locky virusa pod nazivom Locky Bart. Ova varijanta je treća po redu poslije dvije veoma uspješne iteracije ovog virusa.

Locky Bart ima i mogućnost offline enkriptovanja podataka. Ovo nije prvi slučaj da se koristi offline enkripcija kod ove porodice ransomware-a. Prethodna offline varijanta skladištila je dekripcioni ključ u ZIP datoteku koja je bila zaštićena slabim algoritmom što je omogućilo istraživačima da naprave dekriptor.

Ovaj put su sajber kriminalci pronašli bolji način. Naime nakon enkriptovanja podataka ključ za dekripciju se enkriptuje drugim javnim ključem i koristi se kao identifikator korisnika (UID). Ovaj UID se ugrađuje u url za vraćanje podataka, tako kada korisnici pokušaju da vrate podatke nesvjesno napadačima šalju i svoj dekripcioni ključ. Ova metoda omogućava Locky-u da enkriptuje podatke bez kontakta sa C2 serverom.

Izvještaj Malwarebytes Labs-a daje i uvid u backend stranu infrastrukture za upravljanje virusom. Inspekcijom servera utvrđeno je da kriminalci koriste Yii framework za Php u kombinaciji sa MySQL bazom podataka.

U bazu se čuvaju slijedeći podaci o korisniku: UID, enkripcioni ključ, Bitcoin adresa i status plaćanja.  Pored ove pronađena je još jedna baza podataka sa Bitcoin adresama na koje kriminalci koriste.

Istraživači tvrde da je serverski dio virusa dizajniran slično kao legitimna veb stranica, postoji i sekcija sa korisničkom podrškom gdje žrtve mogu kontaktirati napadače u slučaju da imaju pitanja.

Istraživači tvrde da je grupa iza ovog virusa na visokom nivou profesionalizma, te da korisnici trebaju da preduzmu dodatne mjere kao bi se zaštitili.

Izvor:www.securityweek.com