VirLock/Ransom: Parazitski virus koji blokira ekran računara i traži novac od žrtava

Opisi virusa, 25.12.2014, 07:52 AM

Pretnja koju su istraživači kompanije ESET nazvali VirRansom a istraživači Sophosa VirLock je ransomware koji zaključava ekrane žrtava ali se takođe ponaša i kao parazitski virus inficirajući fajlove na računarima.

Proizvođači antivirusa svakodnevno imaju posla sa stotinama hiljada malvera, od kojih većina nisu novi malveri. Razlike između njih su često neznatne, a čak i novi malveri koji se pojavljuju svakog dana su samo manje varijacije poznatih malvera.

Međutim, ovaj novi član porodice malvera koji iznuđuju novac od korisnika inficiranih računara je korak napred u evoluciji ransomwarea, kažu istraživači.

Ransomwarei su malveri koji zaključavaju računar ili fajlove i iznuđuju novac od korisnika. Oni na računar žrtve dospevaju ili tako što ih kriminalci šalju u emailovima koji izgledaju kao poziv na hitnu rekaciju korisnika, ili preko zombi malvera koji je već na računaru i koji preuzima i pokreće ransomware.

U većini slučajeva, ranosmwarei ili zaključavaju ekran ili šifruju fajlove. Kada ransomware šifruje fajlove na hard disku obično ne zaključava ekran i ne radi ništa što bi na neki drugi način sprečilo žrtvu da koristi računar. Obaveštenje malvera može biti prikazano na nekoliko načina, koji uključuju prikazivanje obaveštenja na pozadini radne površine ili unutar tekstualnog fajla ili što je najčešće unutar prozora, kao što to radi CryptoLocker.

U nekim slučajevima, pristup ransomwarea uključuje i šifrovanje fajlova i zaključavanje ekrana prikazivanjem poruke preko celog ekrana i blokiranjem uobičajenih metoda za zatvaranje. Jedan od takvih malvera je Android/Simplocker, prvi fajl koder za Android.

U oktobru su istraživači ESET-a otkrili novi, do tada neviđeni pristup. Win32/VirLock nije samo ransomware, već i virus, samoreplicirajući parazit koji kada dospe u mrežu, čak i ako je inficirao jedan kompjuter može uskoro biti na svim ostalim računarima u mreži, čak i ako niko ne ovori prilog u emailu ili nema zombi malver koji čeka da bude iskorišćen.

Parazitski virus, za razliku od crva, se ne širi samo pravljenjem svojih kopija. Paraziti pronalaze druge programe i menjaju ih tako da oni uključuju kopiju virusa, koristeći originalni fajl kao domaćina ili prenosioca.

VirLocker, dakle, ne samo da zaključava ekran i šifruje fajlove, već ih i inficira dodajući se izvršnim fajlovima, zbog čega deluje kao parazitski virus. Ovakvi virusi mogu ostaviti stotine pa i hiljade inficiranih fajlova na računaru i ako posle čišćenja računara ostane samo jedan inficirani fajl, infekcija može ponovo započeti. Ono što je loše je da se inficirani fajlovi ne mogu samo obrisati, zato što su to vaši sopstveni fajlovi koji su bili tamo pre nego što je infekcija započela. To čišćenje računara čini mnogo komplikovanijim.

“Dezinfekcija fajla inficiranog parazitskim virusom je kao da imate teglu kreme u koju je sletela muva, ali vam nije dozvoljeno da samo bacite celu teglu”, kažu iz Sophosa. “Treba da izdvojite muvu tako da ostatak kreme bude upotrebljiv.”

Prošlog meseca ESET je otkrio brojne varijante ovog malvera, što ukazuje da autor malvera nastavlja da radi na njegovom razvoju.

“Ustvari, ovaj virus donekle izgleda kao zlonamerni eksperiment i zahvaljujući njegovoj polimorfnoj prirodi podeća nas na viruse iz DOS ere, kao što je virus Whale”, kažu iz ESET-a. “Način na koji je VirLock je realizovan pokazuje visok nivo programerskih veština, iako nekim njegovim funkcionalnostima nedostaje logika, što donekle zbunjuje.”

VirLock ne samo da inficira EXE fajlove, već inficira i ZIP, DOC i JPG fajlove. Data fajlovi su kriptovani, uvijeni u EXE shell, i preimenovani tako da je na kraju njihovog naziva ekstenzija .exe, osim ako već nije u pitanju izvršni fajl.

Kada se pokrene, malver dešifruje originalni fajl i otvara ga, što ga razlikuje od tipičnih malvera koji šifruju fajlove.

U trenutku kada korisnik pokrene inficirani fajl, malver se automatski i trajno instalira na sistemu, ostavljajući dve nasumično imenovane kopije (iako to nisu kopije jer je malver polimorfan, pa je ustvari svaka kopija jedinstvena) u foldere %userprofile% i %allusersprofile%. Malver će se postarati da se pokrene i nakon odjavljivanja sa naloga ili restartovanja računara.

Analiza istraživača ESET-a je pokazala da su na listi fajlova koje malver može da zarazi dokumenti (DOC, XLS, PDF, PPT), slike (PNG, GIF, BMP, PSD, JPG), zatim muzika (MP3), video (MPG) i arhive (RAR i ZIP).

Ako pokušate da otvorite inficiranu sliku iz nekog programa koji služi na primer kao foto editor, ona se neće učitati jer su podaci praktično zarobljeni, a ako pokušate da ih oslobodite direktnim otvaranjem fajla, najpre ćete pokrenuti malver.

Malver traga za svim fajlovima dostupnim vašem nalogu da bi ih inficirao. To uključuje i fajlove na mreži kao i USB memorijskim stikovima. Malver pokreće dva procesa koji nadgledaju jedan drugog. Ako jedan proces bude prekinut, drugi se ubrzo pokreće, tako da virus ne može lako da bude uklonjen iz memorije, naročito ne standardnim alatima za zaustavljanje programa. VirLock/Ransom prekida explorer.exe i sprečava otvaranje Task Managera i drugih procesa koji bi mogli biti od pomoći da se zaobiđe ograničenje koje nameće malver.

Pretnja koju prikazuje malver je tipična. Malver prikazuje obaveštenje preko celog ekrana u kome se žrtvi preti zbog navodnog kršenja autorskih prava i od nje traži da plati 0,652 bitcoina (216 dolara/177 evra). Ovako blokiran ekran onemogućava korisnika da pokreće ili pristupa drugim programima i fajlovima.

Jasno je da je VirLock/Ransom ransomware hibridnog tipa. On zaključava kompjuter, kao što to radi malver Reveton, onemogućavajući njegovo korišćenje sve dok korisnik ne plati otkup. On šifruje fajlove kao što to radi CryptoLocker, ali suprotno njemu, te fajlove dešifruje sam virus i bez plaćanja.

Dakle, glavni problem je zaključani ekran, dok je šifrovanje fajlova sekundarni problem.

Na sreću, ESET je objavio alat za čišćenje računara od ove pretnje, a besplatan alat za isti posao nudi i Sophos. Dakle, ne morate plaćati kriminalcima. Ali čišćenje računara nije lak posao jer je virus takav da može lako doći do ponovne infekcije.