Utpressingsvirus er allerede svært ødeleggende programmer som forårsaker stor skade på samfunnet, men virusene fortsetter å utvikle seg i nye – og ofte enda mer destruktive – retninger. Nå meldes det om en ny variant det er gode grunner til å frykte, melder ZDnet.
LokiLocker er navnet på en ny familie av utpressingsvirus som i tillegg til å kryptere filene på systemet, kan slette absolutt alt på PC-en og gjøre den ubrukelig. Viruset ble nylig omtalt av Blackberrys Threat Intelligence-avdeling.
Wiper-funksjonalitet
Den nye, ondsinnede programvaren har det som kalles «wiper»-funksjonalitet, sletting av samtlige filer som et ekstra pressmiddel som bakmenn bruker for å få ofrene til å betale løsepengene innen fristen – ut over selve krypteringsfunksjonaliteten.
I dette tilfellet fungerer programvaren ved også å overskrive Master Boot Record (MBR), kalt hovedpartisjonssektor på norsk, noe som gjør det umulig å starte opp datamaskinen. MBR er den første sektoren på harddisken og et område som leses inn før operativsystemet lastes inn.
Overskriving av denne sektoren kan altså skape store utfordringer som ikke uten videre er enkle å fikse.
Ifølge Blackberry er LokiLocker utviklet som en «utpressingsvirus-som-tjeneste»-løsning, som selges til et begrenset antall «VIP»-aktører som er nøye sjekket og utvalgt på forhånd. Selskapet sier de har identifisert cirka 30 slike aktører hittil.
Iran kan stå bak
Den tidlige distribusjonen av skadevaren skal ha skjedd gjennom trojanisering av verktøy som brukes til såkalt «credential stuffing» – et fenomen som innebærer å forsøke å logge seg inn på brukerkontoer med lekkede brukernavn og passord på en automatisert måte via bot-er.
Det er uvisst i hvilken grad også andre distribusjonsmetoder brukes til å spre viruset.
Ofrene for viruset skal ifølge Blackberry være spredt rundt i hele verden, men de fleste ofrene befinner seg i Øst-Europa, i tillegg til i deler av Asia. Det kan med andre ord også være en fare for at viruset kan spre seg til våre egne breddegrader.
Blackberry Threat Intelligence har ikke klart å spore viruset tilbake til et spesifikt opprinnelsesland eller -gruppe. Noen av verktøyene som er blitt brukt til å spre viruset, skal imidlertid vær utviklet i Iran, noe som kan være en indikasjon på at programvaren stammer derfra. Som sikkerhetsselskapet peker på, kan det imidlertid også være at bakmennene forsøker å villede folk til å tro at landet står bak.
Iran har også tidligere blitt mistenkt for å stå bak «wiper»-skadevare, som da IBM mente at landet var ansvarlig for spredning av ZeroCleare-programvaren, som rettet seg mot industri- og energisektoren.
Fant sårbarheter i farlig utpressingsvirus – dekrypterte filene
