Utpressingsvirusene fortsetter stadig å forvolde betydelig skade, men «suksessen» til disse virusene betyr på ingen måte at bakmennene har sluttet å videreutvikle den ondsinnede programvaren. Eksperter advarer nå mot en ny teknikk som gjør virusene enda verre.
Nettstedet Bleeping Computer rapporterer at aktørene bak løsepengevirus har funnet en metode som gjør selve krypteringsprosessen vesentlig mer effektiv enn tidligere. Den nye trenden ble først omtalt av sikkerhetsselskapet Sentinel Labs.
«Delvis» kryptering
Teknikken innebærer at virusene ikke krypterer samtlige av filene, men kun gjennomfører krypteringen delvis, eller «stykkevis».
– Vi observerer en ny trend innen utpressingsvirus – periodevis, eller delvis, kryptering av ofrenes filer. Denne krypteringsmetoden hjelper operatørene med å unngå deteksjonssystemer og krypterer ofrenes filer raskere. Vi observerer at utviklere av utpressingsvirus i økende grad adopterer funksjonen og annonserer den intenst for å tiltrekke kjøpere eller samarbeidspartnere, skriver sikkerhetsselskapet.
Sentinel Labs peker på at tid er en viktig faktor for aktørene bak løsepengevirus, og jo raskere filene kan krypteres, jo mindre er sannsynligheten for å bli oppdaget og stanset underveis av sikkerhetssystemene.
Ifølge selskapet baserer oppdagelsessystemene seg ofte på statistiske analyser av filoperasjoner samt likheter mellom kjente filer som ikke er påvirket av krypteringen og filer som er påvirket av krypteringen.
I motsetning til konvensjonell, full kryptering kan den stykkevise krypteringen unngå slike analyser ved at filoperasjonene er av mye lavere intensitet og ved at det er større likhet mellom krypterte og ikke-krypterte versjoner av filene.
Bruker vanligvis rundt 40 minutter
Sentinel Labs har identifisert flere varianter av løsepengevirus med disse egenskapene på det mørke nettet, hvor programvaren selges som abonnementsløsninger. I noen tilfeller tilbys det til og med generøse rabatter dersom skadevaren oppdages av sikkerhetsprogramvare.
Noen av skadevareprøvene som ble identifisert av sikkerhetsselskapet, var skrevet i Go og Rust, som er blant de mer uvanlige programmeringsspråkene. Som Digi.no skrev for litt siden, benyttes slike språk stadig hyppigere fordi de gjør skadevaren vanskeligere å analysere og oppdage.
I mars i år kom det en rapport som viser hvor lang tid løsepengevirus bruker på å kryptere filer. Ifølge rapporten varierer denne tiden kraftig fra program til program, men mediantallet på tvers av alle virusene som rapporten omfattet, lå på over 40 minutter.
Med den nye teknikken som Sentinel Labs omtaler, kan denne tiden altså reduseres betraktelig, uten at selskapet har spesifisert akkurat hvor stor tidsbesparelsen er. Mer informasjon kan du finne i selve rapporten.
Denne tjenesten låser opp filer som er kryptert av løsepengevirus – har nådd diger milepæl
