Ransomware jako odwrócenie uwagi

Nasi badacze przeanalizowali szkodliwe oprogramowanie HermeticRansom, znane również pod nazwą Elections GoRansom. Ogólnie jest to dość proste narzędzie szyfrujące, jednak w tym przypadku interesujący jest cel, w jakim było ono stosowane.

Cele szkodnika

HermeticRansom zaatakował komputery w tym samym czasie co inne szkodliwe oprogramowanie, znane jako HermeticWiper. Jak sugerują informacje upublicznione przez społeczność związaną z bezpieczeństwem, zostało ono wykorzystane w ostatnich cyberatakach na Ukrainie. Według naszych ekspertów względna prostota i wątpliwa implementacja ciągłości działania sugeruje, że HermeticRansom było używane jako zasłona dymna dla ataków HermeticWiper.

Co potrafi HermeticRansom?

Po zainfekowaniu komputera ofiary opisywane szkodliwe oprogramowanie najpierw identyfikuje dyski twarde i zbiera listę wszystkich folderów i plików, za wyjątkiem folderów Windows i Program Files. Następnie szyfruje określone kategorie plików i zmienia ich nazwy, dodając tag „.encrypted” i adres e-mail operatorów ransomware. Ponadto oprogramowanie to tworzy w folderze „Desktop” plik „read_me.html” zawierający notatkę z żądaniem okupu i danymi kontaktowymi atakujących. Wygląda ona następująco:

Notatka z żądaniem okupu pozostawiona przez szkodliwy program HermeticRansom

HermeticRansom szyfruje pliki o następujących rozszerzeniach: .inf, .acl, .avi, .bat, .bmp, .cab, .cfg, .chm, .cmd, .com, .crt, .css, .dat, .dip, .dll, .doc, .dot, .exe, .gif, .htm, .ico, .iso, .jpg, .mp3, .msi i odt.

Cechy oprogramowania HermeticRansom

HermeticRansom został napisany w języku Golang. Nie wykorzystuje żadnych mechanizmów zaciemniania, a sama metoda szyfrowania jest raczej niewygoda i nieefektywna. Sądząc po tych i kilku innych faktach, nasi eksperci uważają, że to szkodliwe oprogramowanie zostało stworzone w pośpiechu.

Bardziej szczegółową analizę techniczną opisywanego programu wraz ze wskaźnikami naruszenia bezpieczeństwa można znaleźć na naszym blogu SecureList.

Jak zadbać o swoje bezpieczeństwo?

Rozwiązania zabezpieczające firmy Kaspersky skutecznie wykrywają szkodliwe oprogramowanie HermeticRansom i podobne zagrożenia. W naszej ofercie znajduje się wiele narzędzi do ochrony zarówno komputerów domowych, jak i infrastruktury korporacyjnej, w tym:

• Kaspersky Internet Security: wieloplatformowe rozwiązanie zabezpieczające dla użytkowników domowych,
• Kaspersky Endpoint Security Cloud: rozwiązanie do ochrony biznesu,
• Kaspersky Anti-Ransomware Tool: bezpłatne rozwiązanie korporacyjne, które może działać jako dodatkowa warstwa ochrony równolegle z produktami innych producentów.