Data: Poniedziałek, 5 września 2016, 11:43

WildFire — szkodliwy program ransomware z polskim akcentem


W ubiegłym miesiącu holenderska policja, Europol oraz firmy Intel Security i Kaspersky Lab zawiązały współpracę pod szyldem No More Ransom, zakładając serwis online, który umożliwia odzyskanie dostępu do plików ofiarom szkodliwych programów żądających zapłacenia okupu (tzw. ransomware). Najnowszym efektem współpracy jest zlokalizowanie i zamknięcie cyberprzestępczego serwera odpowiedzialnego za infekowanie komputerów szkodliwym programem WildFire. Co ciekawe, kod szkodliwego programu posiada fragmenty napisane w języku polskim.

Cyberprzestępcy stojący za szkodliwym programem WildFire wydają się koncentrować na użytkownikach z Holandii – przynajmniej 90% ofiar zidentyfikowano właśnie w tym kraju. Mechanizm infekcji jest typowy dla zagrożeń ransomware – atakujący podszywają się pod firmę transportową i wysyłają wiadomości e-mail ze zhakowanych serwerów. Odbiorca jest informowany, że dostawa przesyłki nie powiodła się i aby umówić się na nowy termin, musi otworzyć załączony dokument programu MS Word. Po uruchomieniu pliku i włączeniu obsługi makr (na ekranie pojawia się odpowiedni komunikat informujący, że jest to konieczne do wyświetlenia treści) szkodnik WildFire jest instalowany na komputerze ofiary i rozpoczyna się szyfrowanie plików. Następnie użytkownik widzi żądanie okupu z informacją, że za odzyskanie danych należy zapłacić równowartość około 300 dolarów. Jeżeli pieniądze nie dotrą do atakujących w ciągu ośmiu dni, kwota ta jest potrajana.

Żądanie okupu przez WildFire

Specjaliści z holenderskiej policji zamknęli serwer kontrolowany przez cyberprzestępców stojących za operacją WildFire, zatem na chwilę obecną kolejni użytkownicy nie są atakowani. Zamiast żądania okupu ofiary szkodnika zobaczą informację, że cyberprzestępcy zostali powstrzymani i w celu odzyskania danych bez płacenia pieniędzy należy skorzystać z bezpłatnego narzędzia dostępnego w serwisie https://NoMoreRansom.org. Na chwilę obecną narzędzie obejmuje niemal 1 600 kluczy deszyfrujących, a kolejne zostaną dodane w najbliższym czasie.

Kod szkodliwego makra wykorzystywanego do pobierania szkodnika WildFire na komputery ofiar zawiera dwie ciekawostki. Pierwszą z nich jest fragment tekstu utworu „Money” zespołu Pink Floyd – jak widać, atakujący nie ukrywają faktu, że koncentrują się na zarabianiu pieniędzy. Ponadto kilka zmiennych w kodzie zapisano w języku polskim (np. „Czeladnik18”, „Czeladnik 12” czy „Czeladnik6”).

Fragment kodu WildFire
| Drukuj | Zamknij |