VirLock: Το πρώτο πολυμορφικό Ransomware

Μέχρι σήμερα, το ransomware κατατασσόταν συνήθως σε δύο βασικές ομάδες: LockScreens και Filecoders. Σε σπάνιες περιπτώσεις, το ransomware έχει παρουσιαστεί σε μία υβριδική προσέγγιση, κατά την οποία κρυπτογραφεί αρχεία και παράλληλα κλειδώνει την οθόνη, εμφανίζοντας ένα μήνυμα που την καλύπτει ολόκληρη στο οποίο ζητά λύτρα. Παράδειγμα αυτής της περίπτωσης αποτελεί το Android/Simplocker – το πρώτο filecoder για Android που εντόπισε η ESET νωρίτερα αυτό το έτος.
Το VirLock μολύνει τα αρχεία μεταμορφώνοντας τα σε κρυπτογραφημένα εκτελέσιμα που περιέχουν αυτό το στέλεχος του ιού. Από ένα άλλο μέρος της επίθεσης, προκύπτει η δραστηριότητα του LockScreen, με τυπικά μέτρα προστασίας όπως η φραγή του explorer.exe, της διαχείρισης εργασιών – και η εμφάνιση του μηνύματος για τα λύτρα στην οθόνη.
«Από τεχνικής άποψης, προφανώς το πιο ενδιαφέρον με το VirLock είναι ότι είναι πολυμορφικός, δηλαδή ότι το σώμα του ιού είναι διαφορετικό τόσο για κάθε μολυσμένο αρχείο όσο και για κάθε φορά που εκτελείται. Επιπλέον, η ανάλυσή μας έχει αποκαλύψει πολλαπλά επίπεδα κρυπτογράφησης, γεγονός που συνηγορεί ότι ο δημιουργός του malware έχει πειραματιστεί αρκετά με το κώδικα» δήλωσε ο Robert Lipovsky, Ερευνητής Malware στην ESET.
Περισσότερες πληροφορίες σχετικά με το VirLock διατίθενται στην ανάλυση των ερευνητών της ESET στο WeLiveSecurity.com. Οι χρήστες που έχουν πέσει θύματα της επίθεσης, μπορούν να κατεβάσουν και να χρησιμοποιήσουν την ανεξάρτητη εφαρμογή της ESET για καθαρισμό και να επανακτήσουν τα αρχεία τους.