Tox zsaroló kártevő készítő alkalmazás

CH azonosító

CH-12285

Angol cím

Tox ransomware builder-kit

Felfedezés dátuma

2015.05.29.

Súlyosság

Közepes

Érintett rendszerek

Windows

Érintett verziók

Windows

Összefoglaló

A McAfee Labs közleményében tudatja, hogy egy ingyenes zsaroló kártevő készítő programot találtak a “mélyweben”. 

Leírás

A Tox egy egyszerű webes felülettel rendelkező alkalmazás, ami 3 lépésben képes zsaroló kártevőt gyártani. A “termék” egy nagyjából 2MB nagyságú, képernyőkímélőnek álcázott (MS Word ikonnal ellátott) .SCR kiterjesztésű futtatható állomány, amelyeket tipikusan kéretlen levelek útján juttatnak az áldozatokhoz.

Windows rendszeren futva titkosítja a fájlokat és feloldásukat bizonyos összeg (minimum 50$, bitcoin-on keresztül történő) befizetéséhez köti. Használatáért cserébe a készítők regisztrációt kérnek és igényt tartanak a “bevétel” 30%-ára. (A program a TOR hálózaton keresztül követi nyomon a kód terjedését, ami számottevő anonimitást biztosít a támadóknak.)

A McAfee szerint a káros kód viszonylag egyszerű felépítésű, ami arra enged következtetni, hogy a fejlesztők alacsony szintű tudással rendelkeznek. A kód fordítására a MinGW-t (Minimalist GNU for Windows), titkosításra az AES (Advanced Encryption Standard) algoritmust, kulcskészítésre pedig a Microsoft CryptoAPI-t (Cryptographic Application Programming Interface) használják. Azon kívül több jellemző sztring is azonosításra került, mint pl a “Swogo”:

  • C:/Users/Swogo/Desktop/work/tox/cryptopp/secblock.h
  • C:/Users/Swogo/Desktop/work/tox/cryptopp/filters.h
  • C:/Users/Swogo/Desktop/work/tox/cryptopp/cryptlib.h
  • C:/Users/Swogo/Desktop/work/tox/cryptopp/simple.h

A káros kód hálózati tevékenysége:

A malware először is letölti a cURL és a TOR klienseket.

  • hxxp://www.paehl.com/open_source/?download=curl_742_1.zip
  • hxxp://dist.torproject.org/torbrowser/4.5.1/tor-win32-0.2.6.7.zip

Minden letöltött fájlt a következő helyen tárol:

  • C:Users<username>AppDataRoaming

Futáskor inicializálja a TOR klienst SOCKS5 proxy módban a következő paraméterekkel:

  • -socks5-hostname 127.0.0.1:9050 –data

Megoldás

  • Az elkódolt állományok visszaállítása biztonsági mentésekből lehetséges.
  • Az eltávolításban segítséget nyújthat: Norton Power Eraser (NPE).

Megelőzés:

  • Ne nyissunk meg gyanús csatolmányt.
  • Védelmi szoftverek naprakészen tartása.

Legfrissebb sérülékenységek
CVE-2023-4863 – Google Chrome sérülékenysége
CVE-2023-40186 – FreeRDP sérülékenysége
CVE-2023-20890 – VMware Aria Operations For Networks sérülékenysége
CVE-2023-34039 – VMware Aria Operations for Networks sérülékenysége
CVE-2023-23770 – Motorola MBTS Site Controller sérülékenysége
CVE-2023-38388 – JupiterX Core Premium WordPress Plugin sérülékenysége
CVE-2023-38831 – RARLabs WinRAR sérülékenysége
CVE-2023-38035 – Ivanti Sentry sérülékenysége
CVE-2023-20212 – ClamAV sérülékenysége
CVE-2023-36847 – Juniper Networks Junos OS sérülékenysége
Tovább a sérülékenységekhez »