Недавняя работа программного обеспечения с вирусом-вымогателем использует редкую одноранговую систему, чтобы собрать данные о пользователях и распределить важные ключи защиты тем, кто готов оплатить для возвращения их данных.Программа программного обеспечения с вирусом-вымогателем, известная как химера, приняла относительно неизвестную одноранговую систему обмена сообщениями для передачи с сервером преступников командования и управления, делая исследование инфраструктуры более трудным, по словам исследователей в области безопасности.
Система обмена сообщениями, известная как BitMessage, является коммуникационной системой, которая позволяет сообщениям быть зашифрованными, предотвращает спуфинг и освобождает пользователя любой потребности в управлении ключами. В то время как система предназначается, чтобы помочь обычным людям защитить свои коммуникации, преступники адаптировали программное обеспечение также.Химера использует одноранговую систему для сбора информации о системе жертвы и затем вызывает кодовый ключ для шифрования их данных, химера делает намного более трудным для следователей найти, что серверы раньше управляли программным обеспечением с вирусом-вымогателем, Фабиан Уосэр, разработчик для фирмы защитного программного обеспечения Emisoft, сказал eWEEK в почтовом интервью 19 ноября.
«Это делает намного более трудным завершить работу всей работы, поскольку это не столь просто как нахождение и закрытие сервер вредоносного автора», сказал он. «Фактические платежи сделаны с помощью биткоина, так отслеживание платежей не является более или менее трудным, чем с большей частью другого программного обеспечения с вирусом-вымогателем теперь».Программное обеспечение с вирусом-вымогателем химеры получило внимание в начале месяца для требования его операторов, что они опубликуют данные, украденные от любой жертвы, которая не оплатила выкуп. Все же исследователи в области безопасности утверждали, что такой функциональностью будет очень трудно эффективно управлять. В настоящее время программное обеспечение с вирусом-вымогателем является прибыльным, потому что нападение является очень масштабируемыми, и заражающими и собирающими деньгами с большого количества жертв, довольно просто.
Если бы данные украдены, однако, это означало бы большую работу для преступников, и это могло возможно оставить след к их операциям, делая преступление более сложным и опасным.Кроме того, Wosar, который проанализировал вредоносное программное обеспечение, не счел код способным к краже данных от систем жертв.В то время как его угроза опубликовать частные данные жертв не имела успеха, использование программного обеспечения с вирусом-вымогателем химеры одноранговой зашифрованной системы обмена сообщениями создает более значительную опасность, по словам исследователей в области безопасности.После того, как это заразит систему жертвы, химера отправит информацию о системе и ключах шифрования оператору жульничества, согласно анализу на вредоносном информационном сайте BleepingComputer.
Когда химера закончит шифровать данные компьютера, программа использует функцию BitMessage, известного как подписка, для действия как канал передачи между зараженными системами и серверами командования и управления.Канал подписки, используемый химерой, по сообщениям затих на этой неделе, предположив, что работа программного обеспечения с вирусом-вымогателем может изменять свою инфраструктуру или закрываться.«Во время этой записи это не похоже, что программное обеспечение с вирусом-вымогателем химеры больше активно, но с успехом этого (зашифрованного) метода распределения, я не был бы удивлен найти будущее вредоносное программное обеспечение, которое использует его», записал Лоуренс Абрамс, эксперт по компьютерной экспертизе и владелец BleepingComputer, в своем анализе.
Химера сначала начала заражать системы в Германии ранее этой осенью, согласно сайту информации о безопасности Botfrei.