Novi ransomware inficirao više od 100.000 računara u Kini
Više od stotinu hiljada računara u Kini inficirano je za samo nekoliko dana loše napisanim ransomwareom, koji šifruje lokalne fajlove i krade korisnička imena i lozinke za nekoliko kineskih online servisa.
Kriminalci zahtijevaju od žrtava otkupninu od 16 dolara u zamjenu za dešifrovanje fajlova. Otkupninu treba platiti preko Tencentovog WeChat platnog servisa skeniranjem QR koda.
Prema izvještaju kineske firme Huorong, malver nazvan WeChat Ransom pojavio se 1. decembra, a za nekoliko dana broj inficiranih sistema porastao je na više od 100.000.
Istraživači kažu da je autor malvera koristio kinesku društvenu mrežu Douban za slanje komandi. Nakon analize malvera, oni su mogli pristupiti serverima koji se koriste za čuvanje podataka i na jednom od dva servera kojima su pristupili istraživači pronađeno je više od 20.000 lozinki za Taobao i Alipay naloge.
Malver krade i lozinke za druge online servise, uključujući i lozinke za Tmall, Aliwangwang, Alipay, 163 Mailbox, Baidu Cloud, Jingdong i QQ.
Prema informacijama iz Tencenta, širio se preko kompromitovane popularne aplikacije dizajnirane da upravlja istovremeno s više QQ naloga. Autor malvera je kompromitovao još najmanje 50 aplikacija da bi one širile ransomware.
Telemetrijski podaci pokazaju da veliki broj žrtava nije imao instalirano sigurnosno rješenje. Ovo objašnjava ogroman broj infekcija, uprkos tome što su antivirusne kompanije upozoravale na prijetnju od početka mjeseca i ažurirale svoje antivirusne proizvode kako bi je blokirale.
Kineske sigurnosne kompanije koje analiziraju malver se slažu da je on daleko od kompleksne prijetnje. Iako tvrdi da briše ključ za dešifrovanje ako žrtva ne isplati otkup u zadatom roku, oporavak fajlova i dalje je moguć jer je ključ hardkodovan u malveru. Jednostavnost šifrovanja fajlova također omogućava dešifrovanje pomoću alata nekoliko kompanija, uključujući Qihoo, Tencent i Huorong.