Nowy ransomware atakuje Polaków!

CERT Orange Polska wykrył w swojej sieci aktywność oprogramowania Vortex Ransomware – oprogramowania wymuszającego okup, przygotowanego przez polskich cyberprzestępców pod kątem internautów w naszym kraju. Złośliwy plik jest wyjątkowo niebezpieczny, bowiem na chwilę obecną wykrywają go zaledwie 4 na 59 silników antywirusowych. Okup wynosi 199$, by po czterech dniach wzrosnąć o 100 procent.

Złośliwy kod w testowanych próbkach umieszczony był w pliku AESxWin.exe, lecz oczywiście cyberprzestępcy mogą używać dowolnej nazwy. Plik po uruchomieniu łączy się z domeną *********rdoza.com, gdzie wysyłał polecenie wygenerowania losowego 40-znakowego hasła alfanumerycznego. Po jego odebraniu przez zarażone urządzenie ransomware zaczyna szyfrować pliku przy użyciu silnej kryptografii AES-256. Na koniec ransomware łączy się do domeny wielkijopl.****.sw****.ru C&C botnetu, które odbiera za pomocą żądania http GET informacje o zainfekowanym komputerze w postaci: Adres IP, ID, Data, Hasło:

IP=10.0.2.15&ID=d9d7024f-5928-4a40-a537-28ab121277e7&Data=09-03-2017&Haslo=WHV34z1KgSTibD3hRfYwEbRrxJn3vgZ0hRbUq5AC 

Eksperci CERT Orange Polska przeprowadzają dokładną analizę złośliwego oprogramowania, jednak możliwość połączenia z używanymi przez Vortex adresami C&C jest zablokowana wewnątrz sieci Orange Polska przez CyberTarczę.