Produsele Kaspersky Lab au detectat noi mostre malware din familia de troieni ransomware Rakhni.Principala caracteristica a acestui malware este aceea ca poate alege modul in care isi infecteaza victimele – fie cu un program de criptare, fie cu unul de mining. Conform cercetatorilor companiei, malware-ul vizeaza in principal companiile si se raspandeste mai ales in Rusia (95,57%). In plus, a fost detectat in Kazahstan (1,36%), Ucraina (0,57%), Germania (0,49%) si India (0,41%). Numai in decursul anului trecut, au fost atacati peste 8.000 de utilizatori cu troienii din familia Trojan-Downloader.Win32.Rakhni.
Distributia malware-ului este realizata prin intermediul e-mail-urilor spam care au anexe ce contin un executabil infectat. Cand fisierul este deschis, executabilul este lansat. In acest moment, troianul decide cu ce va infecta PC-ul victimei. Malware-ul verifica existenta unui director “%AppData%\Bitcoin” , care ar putea indica existența unui portofel de Bitcoin. Potrivit cercetatorilor Kaspersky Lab, acest lucru duce la presupunerea ca victimele vor plati pentru a-si recupera fisierele, prin urmare troianul le cripteaza, ceea ce – teoretic – ii garanteaza atacatorului un profit rapid. In celalalt scenariu, infractorii vor incerca sa „castige” bani de la victima, fara ca aceasta sa observe, instaland un program de mining – cu conditia ca PC-ul sa aiba o capacitate suficienta pentru astfel de actiuni, care consuma numeroase resurse.
Este interesant de remarcat ca troianul poate si sa ignore cu desavarsire dispozitivul infectat si sa nu mai instaleze nici un criptor, nici un program de mining. Victima nu scapa, insa, nevatamata, pentru ca va fi lansata functionalitatea de „vierme” de retea – de exemplu, troianul va incerca sa distribuie copii tuturor computerelor disponibile in reteaua locala a victimei.
„Faptul ca malware-ul poate decide cum sa infecteze victimele, este inca un exemplu ca infractorii cibernetici incearca sa profite la maximum: fie direct, santajandu-le pentru a obtine bani (programul de criptare), prin utilizarea neautorizata a resurselor (programul de mining), fie extinzand lantul de distributie a malware-ului, cu viermele de retea”, spune Orkhan Mamedov, Malware Analyst, Kaspersky Lab.
Produsele Kaspersky Lab detecteaza acest malware cu urmatoarele verdicte:
Downloader: Trojan-Downloader.Win32.Rakhni.pwc
Miner: not-a-virus:RiskTool.Win32.BitCoinMiner.iauu
Cryptor: Trojan-Ransom.Win32.Rakhni.wbrf
