Tox zsaroló kártevő készítő alkalmazás

CH azonosító

CH-12285

Angol cím

Tox ransomware builder-kit

Felfedezés dátuma

2015.05.29.

Súlyosság

Közepes

Érintett rendszerek

Windows

Érintett verziók

Windows

Összefoglaló

A McAfee Labs közleményében tudatja, hogy egy ingyenes zsaroló kártevő készítő programot találtak a “mélyweben”. 

Leírás

A Tox egy egyszerű webes felülettel rendelkező alkalmazás, ami 3 lépésben képes zsaroló kártevőt gyártani. A “termék” egy nagyjából 2MB nagyságú, képernyőkímélőnek álcázott (MS Word ikonnal ellátott) .SCR kiterjesztésű futtatható állomány, amelyeket tipikusan kéretlen levelek útján juttatnak az áldozatokhoz.

Windows rendszeren futva titkosítja a fájlokat és feloldásukat bizonyos összeg (minimum 50$, bitcoin-on keresztül történő) befizetéséhez köti. Használatáért cserébe a készítők regisztrációt kérnek és igényt tartanak a “bevétel” 30%-ára. (A program a TOR hálózaton keresztül követi nyomon a kód terjedését, ami számottevő anonimitást biztosít a támadóknak.)

A McAfee szerint a káros kód viszonylag egyszerű felépítésű, ami arra enged következtetni, hogy a fejlesztők alacsony szintű tudással rendelkeznek. A kód fordítására a MinGW-t (Minimalist GNU for Windows), titkosításra az AES (Advanced Encryption Standard) algoritmust, kulcskészítésre pedig a Microsoft CryptoAPI-t (Cryptographic Application Programming Interface) használják. Azon kívül több jellemző sztring is azonosításra került, mint pl a “Swogo”:

  • C:/Users/Swogo/Desktop/work/tox/cryptopp/secblock.h
  • C:/Users/Swogo/Desktop/work/tox/cryptopp/filters.h
  • C:/Users/Swogo/Desktop/work/tox/cryptopp/cryptlib.h
  • C:/Users/Swogo/Desktop/work/tox/cryptopp/simple.h

A káros kód hálózati tevékenysége:

A malware először is letölti a cURL és a TOR klienseket.

  • hxxp://www.paehl.com/open_source/?download=curl_742_1.zip
  • hxxp://dist.torproject.org/torbrowser/4.5.1/tor-win32-0.2.6.7.zip

Minden letöltött fájlt a következő helyen tárol:

  • C:Users<username>AppDataRoaming

Futáskor inicializálja a TOR klienst SOCKS5 proxy módban a következő paraméterekkel:

  • -socks5-hostname 127.0.0.1:9050 –data

Megoldás

  • Az elkódolt állományok visszaállítása biztonsági mentésekből lehetséges.
  • Az eltávolításban segítséget nyújthat: Norton Power Eraser (NPE).

Megelőzés:

  • Ne nyissunk meg gyanús csatolmányt.
  • Védelmi szoftverek naprakészen tartása.