heh.pl
Kanał informacyjny Heh.pl


Sobota 16 stycznia 2021 r.

artykuły | abc komputera (archiwum) | forum dyskusyjne | redakcja


Poniedziałek, 5 września 2016, 11:43

WildFire — szkodliwy program ransomware z polskim akcentem

W ubiegłym miesiącu holenderska policja, Europol oraz firmy Intel Security i Kaspersky Lab zawiązały współpracę pod szyldem No More Ransom, zakładając serwis online, który umożliwia odzyskanie dostępu do plików ofiarom szkodliwych programów żądających zapłacenia okupu (tzw. ransomware). Najnowszym efektem współpracy jest zlokalizowanie i zamknięcie cyberprzestępczego serwera odpowiedzialnego za infekowanie komputerów szkodliwym programem WildFire. Co ciekawe, kod szkodliwego programu posiada fragmenty napisane w języku polskim.

Cyberprzestępcy stojący za szkodliwym programem WildFire wydają się koncentrować na użytkownikach z Holandii – przynajmniej 90% ofiar zidentyfikowano właśnie w tym kraju. Mechanizm infekcji jest typowy dla zagrożeń ransomware – atakujący podszywają się pod firmę transportową i wysyłają wiadomości e-mail ze zhakowanych serwerów. Odbiorca jest informowany, że dostawa przesyłki nie powiodła się i aby umówić się na nowy termin, musi otworzyć załączony dokument programu MS Word. Po uruchomieniu pliku i włączeniu obsługi makr (na ekranie pojawia się odpowiedni komunikat informujący, że jest to konieczne do wyświetlenia treści) szkodnik WildFire jest instalowany na komputerze ofiary i rozpoczyna się szyfrowanie plików. Następnie użytkownik widzi żądanie okupu z informacją, że za odzyskanie danych należy zapłacić równowartość około 300 dolarów. Jeżeli pieniądze nie dotrą do atakujących w ciągu ośmiu dni, kwota ta jest potrajana.

Żądanie okupu przez WildFire

Specjaliści z holenderskiej policji zamknęli serwer kontrolowany przez cyberprzestępców stojących za operacją WildFire, zatem na chwilę obecną kolejni użytkownicy nie są atakowani. Zamiast żądania okupu ofiary szkodnika zobaczą informację, że cyberprzestępcy zostali powstrzymani i w celu odzyskania danych bez płacenia pieniędzy należy skorzystać z bezpłatnego narzędzia dostępnego w serwisie https://NoMoreRansom.org. Na chwilę obecną narzędzie obejmuje niemal 1 600 kluczy deszyfrujących, a kolejne zostaną dodane w najbliższym czasie.

Kod szkodliwego makra wykorzystywanego do pobierania szkodnika WildFire na komputery ofiar zawiera dwie ciekawostki. Pierwszą z nich jest fragment tekstu utworu „Money” zespołu Pink Floyd – jak widać, atakujący nie ukrywają faktu, że koncentrują się na zarabianiu pieniędzy. Ponadto kilka zmiennych w kodzie zapisano w języku polskim (np. „Czeladnik18”, „Czeladnik 12” czy „Czeladnik6”).

Fragment kodu WildFire

Wersja do druku
Poleć znajomym: Udostępnij

Podobne tematy


Starsze

05.09.2016 r.

Mysz Logitech M720 Triathlon Multi-Device, 11:40

6 sposobów jak zaoszczędzić na chmurze Azure, 11:34


Nowsze

05.09.2016 r.

Wyniki badania: mężczyźni niemal nie mogą wytrzymać bez swoich telefonów, 11:45

07.09.2016 r.

ARCHOS Drone – przystępny quadcopter dla początkujących, 8:49


Redakcja nie ponosi odpowiedzialności za wypowiedzi Internautów opublikowane na stronach serwisu oraz zastrzega sobie prawo do redagowania, skracania bądź usuwania komentarzy zawierających treści zabronione przez prawo, uznawane za obraźliwie lub naruszające zasady współżycia społecznego.


Brak komentarzy. Może warto dodać swój własny?



Autor:  










Copyright © 2002-2021 | Prywatność | Load: 0.62 | SQL: 10 | Uptime: 178 days, 9:15 h:m | Wszelkie uwagi prosimy zgłaszać pod adresem eddy@heh.pl