Πως κατεβαίνει ο Ransomware στον υπολογιστή?

Πως κατεβαίνει ο Ransomware στον Υπολογιστή?
Μία από τις πρώτες ερωτήσεις που ακούμε στα εργαστήρια της Northwind Data Recovery σε Αθήνα και Θεσσαλονίκη. Στο παρακάτω άρθρο θα σας αναφέρουμε πως μπορεί ένας Ransomware να κατέβει στον υπολογιστή σας μέσω μίας μόνο εικόνας.

Τι αρχέιο μπορεί να είναι μολυσμένο με ransomware?

Ransomware σε μολυσμένο email

Εντοπίστηκε κακόβουλο αρχείο Excel το οποίο δημιουργεί εντολή Powershell από τα Pixels μια εικόνας του Mario από το Super Mario Bros.   Η τεχνική λέγεται στεγανογραφία και δεν είναι καινούργια, όμως τώρα εμφανίστηκε πιο εξελιγμένη και με κακές διαθέσεις. Πολύ κακές.  

Η επίθεση που εντοπίστηκε, εστίαζε αποκλειστικά και μόνο σε Ιταλούς. Προσποιείται πως πρόκειται -κλασικά- για ειδοποίηση πληρωμής. Το παγιδευμένο επισυναπτόμενο έχει τίτλο F.DOC.2019 A 259 SPA.xls ή παραπλήσιο.

μολυσμένο email με ransomware
μολυσμένο email με ransomware

Αν κανείς ανοίξει το email αυτό, το αρχείο ζητάει την ενεργοποίηση των μακροεντολών. Κάτι που δεν θα πρέπει να κάνετε ΠΟΤΕ, εκτός αν είστε 10000000% σίγουροι για το τι ακριβώς κάνετε. Σε κάθε άλλη περίπτωση πέφτετε στο κενό ασφαλείας που υπάρχει και μπορέι να μολυνθείτε με ransomware.

Ransomware σε μολυσμένο αρχείο Excel

Ransomware σε μολυσμένο αρχείο Excel
Ransomware σε μολυσμένο αρχείο Excel

Μόλις γίνει η ενεργοποίηση των μακροεντολών, αυτές τσεκάρουν τη χώρα πρόελευσης του θύματος, και αν δεν είναι η Ιταλία, τότε το φύλλο θα κλείσει χωρίς να συμβεί τίποτα.

μακροεντολες ransomware
μακροεντολές ransomware

Ransomware σε μολυσμένη εικόνα

Αν η χώρα προέλευσης είναι η Ιταλία, κατεβαίνει αυτή η εικόνα:

Ransomware σε μολυσμένη εικόνα
Ransomware σε μολυσμένη εικόνα

(Φυσικά, την έχουμε τροποποιήσει για να μην μπορεί να χρησιμοποιηθεί πλέον κακόβουλα)   Μόλις η εικόνα κατέβει, το σκριπτάκι θα εξαγάγει διάφορα pixels από την εικόνα προκειμένου να κατασκευάσει εντολή Powershell, την οποία στη συνέχεια εκτελεί.
Αυτή με τη σειρά της θα κατεβάσει και θα εκτελέσει κακόβουλο λογισμικό το οποίο με τη σειρά του κατεβάζει και εγκαθιστά GandCrab 5.1. 

Μολυσμένη εικόνα/ excel/ email με Gandcrab ransomware

Μολυσμένη εικόνα με Gandcrab ransomware
Μολυσμένη εικόνα με Gandcrab ransomware

Πως κατεβαίνει ο Ransomware στον υπολογιστή?

Τι είναι η στενογραφία και πως βοηθάει την κρυπτογράφηση?

Διαβάστε αναλυτικά τον τρόπο που αυτό είναι δυνατό μέσω της Στεγανογραφίας, σε μία εξαιρετική ανάλυση από την Bromium.  
Περιττό να επαναλάβουμε, μην ανοίγετε επισυναπτόμενα από αγνώστους και πάντα επαληθεύετε ότι το αρχείο προοριζόταν για εσας. 

Πως κατεβαίνει ο Ransomware στον υπολογιστή?

H Northwind Data Recovery είναι ο μοναδικός WD, HGST, & Europol Trusted Partner στην Ελλάδα στους τομείς της Ανάκτησης Δεδομένων από σκληρούς δίσκους και επίλυσης Ransomware όπως οι Dharma, Stop, Jigsaw, Scarab, Gandcrab, Matrix, Screenlocker, Cerber, HiddenTear, Locky, WannaCry, STOP.

Μπορεί επίσης να σας αρέσει...