Ransomware GarrantyDecrypt udaje narzędzie do ochrony przed złośliwym oprogramowaniem!

26-04-2019, 21:32

Analitycy odkryli ransomware udający program SpyHunter5, czyli narzędzie do ochrony przed złośliwym oprogramowaniem. Ransomware wykorzystuje logo SpyHuntera jako swoją ikonę. Opisywany złośliwiec reprezentuje rodzinę GarrantyDecrypt.

Powszechną praktyką jest upodabnianie się przez złośliwe oprogramowanie do dobrze znanych programów w celu przyciągnięcia uwagi użytkowników. Jednak ten ransomware idzie o krok dalej i udaje, że to faktycznie aplikacja SpyHunter zaszyfrowała system. Opisywane oprogramowanie reprezentuje rodzinę GarrantyDecrypt. Pierwszą wzmiankę o nim zamieścił Michael Gillespie na Twitterze w październiku 2018 roku.

Większość rodzin złośliwego oprogramowania typu ransomware posiada listę rozszerzeń plików umożliwiającą wyszukiwanie dokumentów osobistych, kopii zapasowych oraz zdjęć do zaszyfrowania. GarrantyDecrypt rzadko bierze na celownik wszystkie pliki, nie zwracając uwagi na ich rozszerzenia. Oznacza to, że zaszyfruje również na przykład pliki wykonywalne. Do zaszyfrowanych plików dodaje rozszerzenie „.spyhunter”, a w zaatakowanych folderach zamieszcza notatkę $HOWDECRYPT$.txt z informacją o okupie.

GarrantyDecrypt wykorzystuje CryptoAPI i RSA. Tak jak większość rodzin ransomware, oprogramowanie, z którym mamy do czynienia usuwa kopie woluminów w tle, tym samym uniemożliwiając odzyskanie plików. GarrantyDecrypt sprawdza domyślny język systemu. Jeśli jest to rosyjski, ukraiński, kazachski, białoruski lub tatarski, żadne pliki nie zostaną zaszyfrowane, a złośliwe oprogramowanie wyłączy się.

Źródło: G DATA


Źródło: materiał nadesłany do redakcji
  
znajdź w serwisie


RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Sierpień 2020»
PoWtŚrCzwPtSbNd
 12
3456789
10111213141516
17181920212223
24252627282930
31