A Bleepingcomputer.com és a MalwerHunter Team szerint a zsarolóvírus kutatók azt állapították meg, hogy az újonnan felfedezett FireCrypt családba tartozó zsaroló vírusok az adatok titkosítása mellett, az érintett eszközről DDoS támadás is indítható. A biztonsági kutató jelentése szerint az eszközök megfertőzéséhez egy Word, vagy Pdf ikonnal rendelkező exe fájl megnyitása szükséges. A káros kód a fertőzés kezdetén leállítja a Windows feladatkezelőt (taskmgr.exe), majd egy 20 fájl típust tartalmazó lista alapján megkezdi az állományok titkosítását, melyek kiterjesztése .firecrypt-re módosulnak. A titkosítás feloldása érdekében a bűnözők 0,6 Bitcoin váltságdíjat követelnek.
A káros kód, a titkosítás sikeres megtörténtét követően kéréseket küld egy előre meghatározott, utólag nem módosítható, a pakintásztáni telekommunikációs hatóság weboldalára (http://www.pta.gov.pk/index.php) mutató URL-re, ahonnan a kód folyamatosan tartalmat tölt le a fertőzött számítógépre. A káros kód fejlesztői ezt a komponenst DDoSer-nek nevezték el. A jelenleg rendelkezésre álló információk alapján a fertőzött eszköz útján, ezzel a módszerrel nem lehet komolyabb támadást megvalósítani, a fenti weboldal sikeres megbénításához legalább ezer online fertőzött számítógép szükséges. A nyilvánosságra hozott adatok alapján felmerül a kérdés, hogy a kérdéses káros kód esetlegesen csak egy teszt volt és a káros kódok következő fejlődési szakaszában esetleg a támadási irány ebbe az irányba mozdul el.
Hivatkozások:
https://www.bleepingcomputer.com/news/security/firecrypt-ransomware-comes-with-a-ddos-component/
