Nowy typ ransomware: ranscam chce okupu za odszyfrowanie plików, które usuwa

Nowe złośliwe oprogramowanie zyskało już swoją nazwę, ranscam, i zostało przeanalizowane na łamach bloga Cisco Talos. Mimo że stanowi ono dla ofiary znacznie poważniejsze zagrożenie, to jest bardziej prymitywną formę ransomware, gwarantując po prostu atakującemu dodatkowy zysk.

W przypadku zaatakowania ransomwarem kwestią sporną jest, czy należy atakującym płacić okup za odszyfrowanie plików. Te wątpliwości nie mają jednak nic wspólnego z ranscam. Atak jedynie pozoruje, że pliki zostały zaszyfrowane i żąda za odblokowanie dostępu przelewu w wysokości 0,2 bitcoina (ok. 522 zł). W rzeczywistości jednak pliki zostały bezpowrotnie usunięte, a zapłacenie okupu nie przyniesie żadnych rezultatów.

Ranscam rozprzestrzenia się jako wykonywalny plik NET podpisany certyfikatem wydanym przez reca.net 6 lipca. Po wykonaniu kopiuje się do lokalizacji %APPDATA%\ oraz %TEMP%, a następnie z wykorzystaniem spyware Windows Command Processor powiela się jako program wsadowy, który zamiast szyfrować pliki systemowe, po prostu je usuwa. Następnie z wykorzystanie Powershella wyświetlany jest komunikat z żądaniem okupu.

Co ciekawe, analitycy Talosa spróbowali zapłacić okup, co jednak okazało się niemożliwe. W tym celu wykorzystali dostępny w komunikacie formularz z pozorowaną prośbą o pomoc. Atakujący odpowiedział im z adresu cryptofinancial@yandex.com, wysyłając szczegółowe instrukcje dotyczące tego, jak dokonać transakcji z wykorzystaniem bitcoinów.

Nie zabrakło tam nawet wskazania konkretnego serwisu, gdzie można kupić kryptowalutę, choć pliki zostały bezpowrotnie utracone. Nie sposób mieć zatem wątpliwości, że mechanizm działania ranscam, w postaci usuwania, a nie szyfrowania plików, jest przez atakującego całkowicie zamierzony.