Zcrypt – ransomware koji je istovremeno i virus

Cilj ovakvih virusnih ransomware-a da se poveća šansa za njihovo širenje u organizaciji ili kućnoj mreži

Zcrypt – ransomware koji je istovremeno i virus

Otkriven je još jedan novi ransomware, ali to nije sve, postoji i jedan interesantan obrt – To je ujedno i virus!

Većina malvera danas su tzv. Trojanci, programi koji na prvi pogled izgledaju bezopasno, ali donose skrivene opasnosti. Ne pojavljuju se sami od sebe, obično u sistem ulaze preko imejla ili zamke na web stranici. Međutim, pre 20 godina, većina malvera su bili virusi, što znači da su bili programirani da se šire sami poput virusne infekcije, najčešće kopiranjem u druge fajlove i foldere. Jedna od prednosti virusa iz ugla hakera je ta što ne moraju da ulažu trud u njegovo širenje - virus to čini sam. Zbog tog svojstva virusi imaju veći domet i mogu trajati duže – u nekim organizacijama se iznova i iznova pojavljuju, nekad i godinama.

U današnjem svetu gde je sve povezano 24h dnevno, svojstvo širenja virusa je i njegova velika mana, odnosno još jedan od načina na koji privlači pažnju na sebe i zbog koga je olakšana njegova detekcija. Zbog toga danas sve ređe viđamo ovu vrstu malvera.

Virusni ransomware

Ransomware koji se sam širi je poduhvat koji su sajber-kriminalci već probali u prošlosti. Pretpostavljamo da je cilj ovakvih ransomware-a povećati šanse za njihovo širenje u organizaciji ili kućnoj mreži (ako je u pitanju personalni korisnik). Većina ransomware-a generiše jedinstveni ključ za svaki računar, tako da ukoliko više računara u vašem preduzeću bude zaraženo, morate da kupite jedinstveni ključ za otključavanje svakog od njih. Ovaj ransomware je detektovan kao Troj/Agent-ARXC i Troj/Mdrop-HGD. Dobra vest je da nije primećeno masovno širenje, uprkos tome što se radi (i) o virusu.

Kako je primećen virusni ransomware?

Zabeležen je pokušaj njegovog širenja preko imejla koji je navodno poslat od strane javne službe u Kaliforniji, u kome se traži da se preuzme određena faktura, a sve je urađeno prilično neuverljivo.

Ako ipak nasednete i preuzmete navodnu fakturu, primićete fajl pod imenom invoice-order.zip, a kada ga raspakujete otkrićete malver u fajlu invoice-order.exe. Ukoliko otvorite invoice-order.exe, ransomware kreće da se širi kroz sistem zaključavajući arhive, slike, video klipove, dokumenta, tabele itd. Onda se pojavljuje stranica sa obaveštenjem i instrukcijama za plaćanje ključa za dekriptovanje.

Osim što zaključava vaše dragocene fajlove, Zcrypt se širi i na sve zajedničke i prenosne diskove na koje naiđe, s ciljem da se još neko „upeca“ kasnije.

Fajl koji Zcrypt ostavlja je zcrypt.lnk uz koji ide i autorun.inf koji pokušava automatsko učitavanje kad god se ubaci zaraženi prenosni disk ili kad se korisnik nađe u zajedničkom prostoru na disku koji je kompromitovan. Iako bi trebalo da je opcija „Autorun“ za prenosne diskove automatski onemogućena na Windows OS već godinama, ipak proverite to za svaki slučaj.

Zcrypt takođe ulazi u AppData\Roaming folder, a odatle se automatski kopira na druge računare koji su deo iste mreže.

Kako se zaštititi od Zcrypt-a?

Zcrypt je osmišljen pomalo naivno i male su šanse da „nasednete“ na ovu prevaru. Ipak, treba uvek biti na oprezu i uraditi sledeće:

  • Koristite web filter za blokiranje nepoznatih linkova
  • Koristite Imejl filter za blokiranje poruka od nepoznatih pošiljaoca
  • Ponašajte se zdravorazumski kada vam stigne faktura ili poruka koju niste očekivali
  • Ne otvarajte .ZIP fajlove i ne pokrećite .EXE fajlove iz nepoznatih izvora
  • Proverite u Group Policy da li je svuda isključena opcija „Autorun“
  • Redovno bekapujte fajlove

Ako Zcrypt prodre u vaš sistem, imajte na umu da ukoliko ga potpuno ne obrišete iz svih fajlova i foldera, on može predstavljati opasnost za druge korisnike i računare. Obavite detaljno skeniranje servera.