17/08/2018

KeyPass: zachłanne ransomware

Zagrożenia

Niedawno pisaliśmy o tym, że do pobranej książki lub moda do gry może być dołączone coś jeszcze. W ostatnich dniach obserwowaliśmy świeży przykład – ransomware KeyPass. To niebezpieczne narzędzie jest dystrybuowane dokładnie w ten sposób: teoretycznie pobierasz nieszkodliwy instalator, ale ten instaluje na komputerze szkodliwy program.

KeyPass to bardzo niewybredny program ransomware. Infekuje komputery na całym świecie, bez preferencji politycznych czy rasowych. W zaledwie 36 godzin — od godzin wieczornych 8 sierpnia do 10 sierpnia — wspomniane oprogramowanie pojawiło się w ponad 20 krajach. Na chwilę pisania tego posta najbardziej zaatakowana była Brazylia i Wietnam, jednak ofiary znajdują się również w Europie i Afryce, a szkodliwy program nadal podbija świat.

Nie bierze jeńców i nie pozostawia żadnych niezaszyfrowanych plików

KeyPass nie przebiera również w infekowanych plikach. Wiele programów ransomware jest nastawionych na dokumenty z określonymi rozszerzeniami, jednak ten omija tylko kilka folderów. Do pozostałych plików na komputerze dołączane jest rozszerzenie .keypass. W rzeczywistości zagrożenie to nie szyfruje plików w całości, lecz pierwsze 5 MB każdego z nich — jednak i tak jest to niewielkie pocieszenie.

W „przetworzonych” katalogach szkodliwy program pozostawia wiadomość w formacie TXT napisana dosyć kiepskim angielskim, w której jego twórcy żądają zakupu programu i indywidualnego klucza, jeśli ofiara chce odzyskać pliki. Aby przekonać się, że pieniądze te nie pójdą na marne, można wysłać do cyberprzestępców od 1 do 3 plików w celu ich darmowego odszyfrowania.

Za przywrócenie plików atakujący żądają 300 dolarów, z zastrzeżeniem, że cena jest ważna przez pierwsze 72 godziny po infekcji. Szczegółowe instrukcje dotyczące przywrócenia swoich dokumentów można uzyskać, pisząc na jeden z dwóch adresów e-mail i wysyłając swój identyfikator podany w notatce. Jednak my nie zalecamy płacenia okupu.

Niecodzienną funkcją programu KeyPass jest fakt, że jeśli z jakiegoś powodu komputer nie ma połączenia z internetem, szkodliwy program nie może pobrać osobistego klucza szyfrowania z serwera kontroli. Wówczas używa on wcześniej przygotowanego klucza, co oznacza, że pliki można bez problemu odszyfrować — klucz mamy w ręce. Niestety w pozostałych przypadkach sprawa nie jest taka prosta: mimo stosunkowo prostej implementacji cyberprzestępcy nie popełnili żadnych błędów w szyfrowaniu.

W przypadkach, o których wiemy, szkodliwy program działał automatycznie, lecz jego twórcy umożliwili sobie także opcję kontroli ręcznej. Wyraźnie liczą na to, że KeyPass będzie dystrybuowany ręcznie — czyli zamierzają używać go w atakach ukierunkowanych. Jeśli cyberprzestępcom uda się połączyć z komputerem ofiary zdalnie i umieszczą na nim ransomware, po wciśnięciu odpowiedniego klawisza będą oni mogli zmienić jego ustawienia szyfrowania, w tym listę folderów, które KeyPass ignoruje, a także informację dotyczącą okupu i klucz prywatny.

Jak ochronić swój komputer przed ransomware KeyPass?

Narzędzie służące do odszyfrowania plików zajętych przez KeyPass jeszcze nie zostało utworzone, zatem jedynym sposobem ochrony danych jest proaktywna ochrona przed infekcją. Cóż, w sumie zawsze jest lepiej zapobiegać niż chronić; radzenie sobie z konsekwencjami bezmyślności zajmuje znacznie więcej czasu i wysiłku niż unikane ich od początku. Wobec tego zalecamy kilka prostych sposobów, które są skuteczne nie tylko w przypadku zagrożenia KeyPass, ale i każdego innego programu żądającego okupu za odszyfrowanie zajętych danych:

  • Nigdy nie pobieraj nieznanych programów z wątpliwych stron ani nie klikaj łączy, jeśli masz chociażby cień podejrzeń. Pomoże Ci to uniknąć większości szkodliwych programów czyhających w internecie.
  • Twórz kopie zapasowe wszystkich swoich ważnych danych. W tym poście znajdziesz wszystko, co musisz wiedzieć na ten temat.
  • Korzystaj z niezawodnego programu zabezpieczającego, który potrafi rozpoznawać i blokować podejrzane programy, zanim wyrządzą one jakiekolwiek szkody na komputerze. Na przykład rozwiązania firmy Kaspersky Lab są wyposażone w moduł chroniący przed programami żądającymi okupu za przywrócenie plików.