Az RAA zsarolóvírus 2016 júniusában tűnt fel, ez az első ismert zsarolóvírus, amit teljes mértékben JScript programozási nyelven írtak. Augusztusban a Kaspersky Lab szakértői egy új verziót találtak. Az előzőhöz hasonlóan a vírus email útján terjed, de most a rosszindulatú kód egy csatolt, jelszóval védett zip archívumba van rejtve. Ezt az újítást főleg azért vezették be a bűnözők, hogy becsapják a vírusirtó programokat, mivel így a védett archívum tartalma nehezebben hozzáférhető.

Az emailek vizsgálata során a Kaspersky Lab szakértői arra a következtetésre jutottak, hogy a csalók vállalatokat szándékoznak megtámadni: a rosszindulatú email egy megrendelés elmaradt kifizetésének adatait tartalmazza. Hogy még hihetőbb legyen az email, a csalók megemlítik, hogy biztonsági okokból, a csatolt file jelszóval (az archívum jelszava az email végén található) és aszimmetrikus titkosítással is védve van. Ez a kijelentés nevetségesen hangzik a hozzáértő felhasználók számára, de teljesen megbízhatónak tűnhet a becsapható áldozatoknak.

Az ezt követő fertőzési folyamat hasonlít a korábbi verzió azonos folyamataira. Az áldozat futtat egy .js file-t, amely elindítja a rosszindulatú folyamatot. Hogy elterelje az áldozat figyelmét, a trójai egy kamu szöveges dokumentumot jelenít meg, ami random karaktereket tartalmaz. Amíg az áldozat értelmezni próbálja a látottakat, a háttérban az RAA a gépen található file-okat titkosítja. Végül a zsarolóvírus egy váltságdíjat követelő üzenetet ment az asztalra és az összes titkosított file új .locked kiterjesztést kap.

Kép:Pixabay

Az előző verzióhoz képest a fő különbség az, hogy az RAA vírusnak nem kell az irányító szerverrel kommunikálni ahhoz, hogy titkosítsa a file-okat az áldozat számítógépen. Ahelyett, hogy mester kulcsot kér a vezérlő szervertől, a trójai maga generálja, titkosítja és menti el a kulcsot a fertőzött gépen. A kiberbűnözőknél van egy privát kulcs, ami dekódolja az egyedi titkosított kulcsot.Miután a váltságdíjat kifizették, a bűnözők megkérik a felhasználót, hogy küldje el a titkosított mester kulcsot, amit dekódolva küldenek vissza az áldozatnak egy dekódoló szoftverrel együtt. Ezt nyilvánvalóan azért gondolták ki így, hogy a vírus offline és online gépeket is titkosítani tudjon.

Sőt mi több az RAA zsarolóvírussal együtt az áldozat a Pony trójai vírust is megkapja. A Pony minden levelező programból képes jelszavakat lopni, amiket elküld a támadónak. A jelszavak segítségével a csalók a fertőzött felhasználók nevében terjeszthetik a vírust, így könnyebben meggyőzhető az áldozat, hogy az email valós. Az áldozat céges email címéről a vírus az összes üzleti partnert megfertőzheti. Azután a csalók kiválaszthatják és megtámadhatják a célszemélyeket.

"Úgy hisszük, hogy az RAA trójait azért fejlesztették ki, hogy vállalatokat célzó támadásokat hajtsanak végre. A zsarolóvírus és jelszólopó együttes használata veszélyes fegyver a kiberbűnözők kezében, mert fokozza a pénzhez jutás esélyét. Egyrészt a vállalat kifizeti a váltságdíjat, másrészt új áldozatokat lehet megtámadni a Pony trójai vírus által gyűjtött azonosítókat felhasználva. Továbbá az offline titkosítás növeli az RAA új verziójának hatékonyságát" - mondja Fedor Sinitsyn, a Kaspersky Lab senior vírus elemzője.

A fertőzés veszélyének csökkentése érdekében a vállalatok vezetői vegyék fontolóra a következő tanácsokat:

• Használjon erős biztonsági technológiákat és vírusirtókat.
• Tanítsa meg alkalmazottainak a hozzáértő számítógép-használatot.
• Rendszeresen frissítse a szoftvereket a céges gépeken.
• Végezzen biztonsági ellenőrzéseket.
• Nézze meg a file-ok kiterjesztéseit, mielőtt megnyitná őket. A következő kiterjesztések lehetnek veszélyesek: .exe, .hta, .wsf, .js.
• Használja józan eszét és az ismeretlen feladók emailjeit kezelje fenntartással.

A 2016 Corporate IT Security Risks Survey kutatás szerint a magyarországi vállalatok 23,5%-a vált zsarolóvírus támadás áldozatává az elmúlt évben. A zsarolóvírus fertőzés veszélyének hatékonyabb csökkentése érdekében a Kaspersky Lab közzétette ingyenes Anti-Ransomware Tool for Business programját.

Jelenleg az RAA zsarolóvírus oroszul tudó felhasználók körében terjed, mivel a váltságdíjat követelő üzenet oroszul van.