Securitate IT

Troianul de tip „ransomware”, numit Cryzip, este al doilea de acest fel care apare în ultimele 10 luni, după PGPcoder. Acesta este, de asemenea, al treilea troian de acest fel din 1989 încoace.

Cercetătorii de la Lurhq au anunţat marţi că apariţia a doi troieni de acest fel într-un interval de un an ar putea indica o posibilă tendinţă în evoluţia malware-ului.

„Anul trecut am văzut apariţia PGPcoder şi de obicei orice metodă prin care atacatorii pot face bani este urmată de alţi şi alţi atacatori”, a declarat Joe Stewart, cercetător principal de securitate la Lurhq.

Troianul Cryzip caută fişierele, de genul cod sursă sau baze de date, pe sistemele infectate. Acesta utilizează apoi o librărie zip comercială pentru a stoca fişierele criptate. Cercetătorii de securitate nu au determinat încă modul în care se răspândeşte troianul, notând că acesta ar putea proveni de pe o serie de site-uri maliţioase ori ar putea fi distribuit prin backdoor-uri lăsate de viruşi anteriori.

Troianul suprascrie fişierele victimelor şi apoi le şterge, lăsând doar materialul criptat care păstrează numele original al fişierului, urmat de extensia _CRYPT_.ZIP.

„Spre deosebire de PGPcoder, criptarea zip utilizată de Cryzip este mai puternică. Este mai dificilă găsirea cheilor de criptare posibile pentru recuperarea informaţiilor”, a declarat Stewart.

Cryzip nu s-a răspândit încă pe scară largă. Lurhq spune că are cunoştinţă doar de aproximativ 25 de cazuri de infectare. Autorii de software maliţios au început să utilizeze metode de atac low-level, în speranţa că astfel companiile de securitate au nevoie de mai mult timp pentru a detecta atacurile şi a dezvolta mijloace de protecţie.

De asemenea, în cazul unor astfel de atacuri utilizatorii apelează mai greu la ajutor, dacă aceasta implică dezvăluirea sursei de unde ar fi putut proveni infecţia.

Autorul Cryzip, care utilizează un cont E-Gold pentru colectarea „taxei de răscumpărare” a făcut următoarea precizare pentru victimele sale: „Computerul tău a preluat software-ul nostru în timpul navigării pe pagini pornografice ilegale şi toate documentele, fişierele text, bazele de date, au fost arhivate cu parole suficient de lungi. Nu vei putea ghici parola pentru fişierele tale arhivate - lungimea parolei este mai mare de 10 simboluri, ceea ce înseamnă că programele de recuperare a parolelor nu îţi vor fi de nici un ajutor.”

Autorul troianului solicită suma de 300 de dolari, prin transfer în contul său E-Gold.