En ny form av ransomware infekterar användare runt om i världen genom att kamouflera sig som ett program eller spel och lura offer till nedladdning och lansera det på deras Datorer.
Anatova ransomware först uppstod den 1 januari i år och den nya koden bakom det tyder på att cyber brottslingar och fördela det är erfarna malware utvecklare.
Det visar förmåga att förvandlas snabbt, med potential för nya skatteflykt taktik och sprida mekanismer för att vara lätt läggas till. Anatova är också utrustad med stark kryptering, med hjälp av ett par av RSA-nycklar för att låsa användare av filer — en taktik används också av några av de mest framgångsrika ransomware familjer som GandCrab och Crysis.
Det är på grund av dessa egenskaper, och hur det är förberett för en modulär utbyggnad, som säkerhet forskare på säkerhetsföretaget McAfee — som avslöjade den ransomware — har varnat för att Anatova är ett verk av skickliga cyberbrottslingar och har potential att bli ett allvarligt hot.
“Anatova har potential att bli mycket farlig med modulär arkitektur som gör att nya funktioner kan enkelt läggas till. Malware är skrivna av erfarna författare som har bäddat tillräckligt med funktioner för att vara säker på att typiska metoder för att övervinna ransomware kommer att vara ineffektiva,” sade Christiaan Beek, bly forskare och principen ingenjör på McAfee.
För närvarande är det största antalet offer är i USA, med ransomware också att bli upptäckt i Belgien, Tyskland, Frankrike, STORBRITANNIEN och andra Europeiska länder.
Sprids via peer-to-peer-nätverk, Anatova utger sig för att vara gratis nedladdning av spel och programvara för att lura intet ont anande offer till nedladdning av ransomware — även om forskarna observera att det kan spridas med hjälp av andra angreppsvinklar i framtiden.
SE: EN vinnande strategi för it-säkerhet (ZDNet särskild rapport) | Ladda ner rapporten som en PDF-fil (TechRepublic)
Efter skadlig kod är säker på att det är fokus på ett legitimt system, kommer det att skapa en RSA-nyckelpar med crypto API som kommer att kryptera alla strängar, innan generera slumpmässiga nycklar för att kryptera target-systemet och genomföra processen för fullt distribuera ransomware.
De som blivit infekterade med Anatova kommer att finna sig fram med en gisslan anteckning som kräver betalning i cryptocurrency av 10 Dash, runt $700, i utbyte för unencrypting filer.
En cryptocurrency plånbok postadress för att göra betalningen och användaren berättade att e-angriparna efter att göra så för att få en dekrypteringsnyckel. Offren är varnade för att försöka hämta de filer sig själva och att attacken är “inget personligt, bara business”.
Anatova ransomware not.
Bild: McAfee Labs
Det är okänt för vissa som ligger bakom detta nya ransomware, men om offret är medlem i Oberoende Staters Samvälde — som består av före detta Sovjetiska länder, inklusive Ryssland — Anatova kommer att säga upp sig.
Anatova också vägrar att infektera system i Syrien, Egypten, Marocko, Irak och Indien, i ett drag som har förvirrad forskare.
SE: Kan ryska hackare stoppas? Här är varför det kan ta 20 år (TechRepublic cover story) | ladda ner PDF-versionen
“Det är helt normalt att se CIS-länderna att vara uteslutna från utförande och ofta en indikator på att författarna kan ha sitt ursprung från ett av dessa länder,” säger Alexandre Mundo, senior malware analytiker i McAfee ‘ s avancerade hot research team.
“I detta fall var det förvånande att se de andra länder som nämns. Vi har inte en klar hypotes om varför dessa länder är undantagna”, tillade han.
LÄS MER OM IT-RELATERAD BROTTSLIGHET
Ransomware: Inte döda, bara få en massa sneakier
Globala hackar-kampanj är inriktad på kritisk infrastruktur CNET
Denna gamla ransomware är att använda en obehaglig nytt trick för att försöka få dig att betala upp
Ransomware: En lathund för yrkesverksamma TechRepublic
Nya Phobos ransomware utnyttjar svaga säkerhet att träffa mål runt om i världen
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter