Tietoturva

55 virustutkaa ei tunnistanut: Kiristysohjelma mateli koneelle

Julkaistu:

Tietoturvayhtiö löysi drive by -latauksena levitetyn ja digitaalisella allekirjoituksella varustetun kiristysohjelman.


Tietoturvayhtiö Barracuda Labs kertoo havaitsemastaan uudesta tavasta levittää Cryptowall-kiristysohjelmaa.

Cryptowall ottaa salakirjoittamansa pc:n tiedostot panttivangiksi ja lupaa palauttaa ne lunnaita vastaan. Tiedostojen palautuksesta ei kuitenkaan ole todellisuudessa takuita maksun jälkeenkään.

Haitaketta on jaeltu validilla digitaalisella allekirjoituksella varustettuna. Jakelu tapahtui Zedo-mainosverkoston kautta, ja ohjelmaa on tarjottu muun muassa Codingforums.com- ja Hindustantimes.com-sivustojen kautta.

Ohjelma on syötetty niin sanottuna drive by -latauksena, eli ilman käyttäjän tekemiä aktiivisia toimenpiteitä. Mainokset syöttävät pc:lle javascriptiä, joka ohjaa selaimen verkkosivustoille, joiden takana pyörii murto-ohjelmia (exploit kit). Nämä etsivät haavoittuvuuksia kohdekoneen järjestelmästä, apuohjelmista ja selainlisäkkeistä ja sellaisen löydettyään sujauttavat kiristysohjelman koneelle.
Mainos (Teksti jatkuu alla)
Mainos päättyy

Tietokoneelle asennetulla kiristysohjelmalla oli validi digitaalinen allekirjoitus, joten sen asennus hyväksyttiin saumattomasti.

Levitystekniikan löytöhetkellä yksikään useammalla virustutkalla tiedostot tarkistavan Virustotalin 55:stä turvaohjelmasta ei tunnistanut kiristysohjelmaa.

Toistaiseksi ei ole tietoa, miten haitakkeen levittäjät ovat saaneet käsiinsä tai väärentäneet toimivan digitaalisen allekirjoituksen.

Kommentit

    Näytä lisää