Ransomware Surprise inficira računar preko TeamViewera

Opisi virusa, 23.03.2016, 01:30 AM

Novi ransomware nazvan Surprise inficira računare preko TeamViewera i kao i svi slični malveri šifruje fajlove na računarima dodajući svakom šifrovanom fajlu ekstenziju “.surprise”.

Za novi ransomware se saznalo kada su se prve žrtve obratile za pomoć forumu Bleeping Computera, koji je i inače mesto na koje dolaze korisnici računara koji su zaraženi različitim ransomwaerima.

Prvo što primeti korisnik računara zaraženog ransomwareom Surprise je da ne može da pristupi svojim fajlovima, a zatim će primetiti i tri nova fajla na desktopu. To su obaveštenja u kojima se korisniku objašnjava šta se dogodilo sa računarom, da su fajlovi na računaru šifrovani, i da ako želi da ih vrati u prvobitno stanje, žrtva treba da kontaktira autora malvera što može da uradi preko dve email adrese [email protected] i [email protected].

Od žrtve se traži da plati 0,5 bitcoina (oko 200 dolara). Taj iznos bi u zavisnosti od sadržaja fajlova mogao da bude i veći, čak do 10000 dolara (25 bitcoina).

Surprise se ne razlikuje od srodnih malvera koji ovih meseci haraju internetom. Za šifrovanje fajlova Surprise koristi AES-256 algoritam, a zatim RSA-2048 da bi osigurao enkripcijske ključeve svih fajlova master ključem koji se šalje komandno-kontrolnom serveru.

Surprise šifruje 474 različitih vrsta fajlova i uklanja Volume Shadow kopije, čime onemogućava proces oporavka fajlova, osim ako korisnik nema neki eksterni backup.

Surprise je još jedan derivat EDA2 open-source ransomwarea koji je bio projekat turskog istraživača Utku Sena koji je stvarajući EDA2 imao na umu edukaciju. Međutim, projekat se oteo kontroli i mnogi su ga kriminalci iskoristili za svoje potrebe uprkos činjenici da administatorski panel ima backdoor koji je postavio Utku Sen.

Sen može pomoću backdoora da pomogne žrtvama ransomwarea koji su potekli od EDA2, ali u ovom slučaju, komando-kontrolni serveri ransomwarea Surprise su offline tako da je backdoor beskoristan. Razlog bi mogao biti to što autor malvera Surprise nije profitirao onoliko koliko je očekivao.

To znači da ransomware ne može da sačuva RSA ključ na komandno-kontrolnim serverima, ali i da žrtve koje žele da plate otkup neće moći da povrate svoje fajlove.

Ekipa sa foruma Bleeping Computer je istražujući slučajeve infekcije ovim ransomwareom, primetila da su sve žrtve imale instaliran TeamViewer, program koji omogućava povezivanje dva računara i kontrolu korisnika jednog računara nad drugim računarom. Oni su pregledali logove TeamViewera i otkrili da je neko pristupao računarima preko ovog programa, preuzimao fajl surprise.exe i zatim pokretao taj fajl.

Još uvek nije jasno kako se to dogodilo, ali postoje dva moguća objašnjenja. Jedno je 0-day propust u TeamVieweru koji je autor ransomwarea koristio da inficira računare, ali to je malo verovatno. 0-day zahteva dosta umeća i tehničkog znanja a neko ko to ima ne bi koristio backdoorovani ransomware.

Drugo objašnjenje je da je napadač pretraživao internet tragajući za dostupnim instalacijama TeamViewera i zatim koristio brute-force napad, ali su iz TeamViewera odbacili ovakvu mogućnost jer TeamViewer eksponenicijalno povećava vremenski razmak između dva pokušaja povezivanja tako da je za 24 pokušaja potrebno 17 sati.

Međutim, pošto je TeamViewer široko rasprostranjen softver, mnogi kriminalci pokušavaju da se prijave sa korisničkim imenima i lozinkama kompromitovanih naloga, pokušavajući da nađu TeamViewer naloge sa istim korisničkim imenom i lozinkom.

Korisnici se mogu zaštititi od ovakvih napada. Iz TeamViewera savetuju korisnicima da za preuzimanje programa koriste samo zvanične TeamViewer kanale za preuzimanje. Druga mera zaštite su jedinestvene i jake lozinke.