Mokslas ir IT

2018.01.29 11:08

Nustatyti išpirkos reikalaujančio kenkėjo autoriai

LRT.lt 2018.01.29 11:08

Kelerius metus namų vartotojus, įmones ir finansines institucijas šiurpinusio bankininkystės trojano „Dridex“ autoriai, pasirodo, yra atsakingi už ne mažiau garsų išpirkos reikalaujantį kenkėją „FriedEx“. Tai atskleidė saugumo sprendimų kūrėjos ESET tyrimas.

Kaip rašoma pranešime žiniasklaidai, „FriedEx“, dar vadinamas „BitPaymer“, pirmą kartą buvo nustatytas 2017 m. liepos pradžioje. Po mėnesio išpirkos reikalaujantis kenkėjas smogė Škotijos valstybinėms ligoninėms: užkrėstų sistemų atstatymas užtruko kelias dienas, o ligoninių atstovai pripažino, kad dėl incidento teko atšaukti nedidelę dalį suplanuotų procedūrų ir pacientų vizitų.

Pasak ESET tyrėjų, „FriedEx“ yra labiau skirtas aukštesnio lygio taikiniams ir įmonėms, nei namų vartotojams. Šis išpirkos reikalaujantis kenkėjas plinta per nuotolinio darbalaukio protokolo (RDP – remote desktop protocol) brutalias atakas. „FriedEx“ šifruoja kiekvieną failą su atsitiktiniu būdu generuojamu RC4 raktu, kuris vėliau šifruojamas naudojant 1024 bitų RSA viešąjį raktą ir išsaugomas faile „.readme_txt“.

Saugumo tyrėjai išanalizavo „FriedEx“ pavyzdžius, kuriuos ESET saugumo sprendimai nustato kaip „Win32/Filecoder.FriedEx“ ir „Win64/ Filecoder.FriedEx“, ir rado panašumų su bankininkystės trojanu „Dridex“. Abu kenkėjai naudoja tą pačią programų plitimo technologiją, siekiant kiek įmanoma maskuoti savo kenksmingą veiklą, tačiau detali analizė patvirtino tyrėjų spėjimą, kad tiek „FriedEx“, tiek „Dridex“ kenkėjų šeimas sukūrė tie patys programišiai.

Bankininkystės trojanas „Dridex“ pirmą kartą buvo nustatytas 2014 m. kaip gana paprastas botas, tačiau jo kūrėjai netrukus pavertė kenkėją kur kas galingesniu virusu.

Pasak ESET tyrėjų, programišiai nuolat tobulina „Dridex“ ir išleidžia vis naujas jo versijas. Štai 2017 m. trojanas buvo apginkluotas nauja užkrėtimo funkcija, pavadinta „Atom Bombing“, leidžiančia programišiams įterpti kenksmingą kodą į bet kurią „Microsoft Office“ versiją, net ir naujausią „Windows 10“. Pernai pasinaudojęs vartotojų laiku neatnaujinto „Microsoft“ programos „Word“ nulinės dienos pažeidžiamumu „Dridex“ užkrėtė milijonus kompiuterių. Pasak saugumo ekspertų, programišių siekis panaudoti kuo daugiau kenkėjų galimybių tik atspindi šių dienų realijas.

„Išpirkos reikalaujantys virusai vis dar yra „ant bangos“, tad nenuostabu, kad programišiai, sukūrę vieną pavojingiausių bankininkystės trojanų, ėmėsi naujos srities. Atsižvelgiant į tai, kaip programišiai nuosekliai tobulina „Dridex“, galime tikėtis dar ne vieno naujo kenkėjo“, rašoma ESET tinklaraštyje WeLiveSecurity.com.