Nová šifrovací potvora funguje bez připojení k internetu...

Nová varianta šifrovací potvory RAA umí data zašifrovat bez řídících serverů.

Experti společnosti Kaspersky objevili novou verzi ransomware RAA, který dokáže šifrovat data offline bez nutnosti připojení k řídícím serverům. Potvora se šíří prostřednictvím emailů, ve kterých je příloha s příponou *.js (JScript). Specialisté se domnívají, že by tato varianta potvory mohla masivněji útočit v korporátní sféře.

První verze ransomware RAA se objevila v červnu a jde o první šifrovací potvoru, která je celá naprogramovaná pomocí JScriptu (Jscript je "microsoftí variantou" JavaScriptu). Příloha, ve které je schován škodlivý kód, je zazipovaný soubor chráněný heslem. Emaily předstírají upozornění na neuhrazené faktury a heslo je umístěno na konci emailu. To, že je příloha zaheslovaná, má také ztížit detekci potvory antivirem - ne každý antivir dokáže přílohu odheslovat, i když některé antiviry se snaží odheslovat soubory pomocí slov, která najdou v těle emailu.

Pokud šikovný uživatel přílohu odhesluje a škodlivý soubor spustí, je další pokračování víceméně stejné, jako vždy - potvora začne šifrovat data a otevře textový soubor, ve kterém uživatel uvidí jen náhodně generovanou kombinaci písmen. Tím je zmatek šikovného uživatele dovršen, a zatím co se snaží přijít záhadě na kloub, potvora již vesele šifruje vše, na co přijde. Po dokončení svých aktivit změní přípony zašifrovaných souborů na *.locked a na plochu umístí textový soubor s požadavkem na výkupné. No a protože potvora nepotřebuje komunikovat s žádným řídícím serverem a veškeré šifrovací klíče si generuje sama, není tak snadné ji detekovat.

Kyberlumpi samozřejmě mají k dispozici nástroj, které umí "master key" vygenerovaný potvorou dešifrovat a jakmile oběť zaplatí výpalné, mohou jí poslat klíč k dešifrování dat.

Jako bonus dostane šikovný uživatel do počítače další potvoru - trojského koně Pony. Ten umí uživateli ukrást hesla k emailovým účtům a poslat je kyberlumpům. No a protože Pony umí ukrást hesla i z korporátních mejlových účtů, může vesele posílat zprávu dalším lidem z kontaktů napadeného uživatele, čímž samozřejmě zvýší důvěryhodnost emailu a zvýší pravděpodobnost úspěšného šíření potvory.