Nedavno je otkriven novi ransomware za koga je, između ostalog, karakteristično da se maskira u Google Chrome pretraživač. Sva ESET bezbednosna rešenja tretiraju ovu pretnju kao Win32/Filecoder.NFR, a još tokom prve analize nazvana je Ransom32.

Šta je Ransom32?
Ransom32 funkcioniše po principu ‘Ransomware as a Service’ sa nekog skrivenog servera u TOR mreži. Ovaj način rada daje mogućnost kontrole onom ko stoji iza ove pretnje da odlučuje o vrsti napada kojim će oštetiti žrtvu, o visini otkupnine i sadržaju poruke koja se prikazuje nakon zaključavanja.

Kako funkcioniše Ransom32?
Nakon instalacije i aktiviranja, Ransom 32 maliciozni fajlovi su raspakovani i nalaze se u privremenom folderu, a među njima i fajl chrome.exe koji izgleda kao popularni Google Chrome pretraživač. Lažni Google Chrome je moguće prepoznati na osnovu podataka u odeljku Properties – gde su informacije o verziji i nazivu aplikacije obrisane.

ansom32-filecoder-623x432
Kada korisnik pokrene Ransom 32 sa namerom da aktivira Google Chrome fajl, pokreću se u pozadini i sve standardne ransomware akcije kao što su enkripcija fajlova, kontaktiranje servera sa kog se vrši kontrola i prikaz poruke o otkupnini na ekranu. Postoji na hiljade vrste fajlova koje su “kandidati” za enkripciju, a među njima su najčešće one ekstenzije koje se odnose na tekstualne fajlove i fotografije – .TXT, .DOC, .JPG, .GIF, .AVI, .MOV, i .MP4.
Još jedan detalj koji razlikuje Ransom32 od njemu sličnih fajlova jeste količina memorije koju zauzima – 45 MB nije nikako standardna veličina za ransomware koji obično ne prelazi više od 1MB. Međutim, 45 MB je ipak opravdano za nekog ko pretenduje da bude Google Chrome.

Kako se infiltrira?
Kako je Ransom32 vrsta Filecoder virusa, postoje različite metode za njeno infiltriranje najčešće je to putem malicioznih sajtova, fajlova za preuzimanje, malicioznih priloga u mejlu i putem drugih štetnih programa.

Izvor: http://www.welivesecurity.com/2016/01/08/ransom32-new-filecoder-in-sight/