U jučerašnjoj "dozi" crva naleteh na jedan neobičan primerak. Ova konkretna verzija Winlock crva je na ruskom i, kao i ostale do sada primećene varijante, prvenstveno pogađa korisnike u Rusiji.
WinLock je ransomware koji od korisnika zahteva da pošalje SMS (cena oko $10) na neki broj kako bi se dobila šifra za otključavanje.
To doista i funkcioniše, ali samo privremeno - nakon par dana Desktop opet biva zaključan.
Kada do zaključavanja dođe, ono može biti privremeno (kod nekih verzija je 2 sata) ili trajno.
Metod distribucije zavisi od verzije malware-a; tipično su u pitanju fake codec dropperi i, u slučaju varijante koja je ovde prikazana, autorun type dropperi.
Priča počinje, kao i obično, bez mnogo buke. Ubacivanjem flash drive-a dobija se Autoplay prompt:
. . .
"Čudna" slova su posledica korišćenog jezika.
Klik na Ok ili dvoklik na ikonicu drive-a u Windows Exploreru okidaju infekciju.
U početku se ništa problematično ne primeti sem toga što drive neće da se otvori na dvoklik u Win. Exploreru. Takođe, otvaranje nije moguće ni izborom neke druge opcije u padajućem meniju.
Ono što je (na neki svoj, uvrnuti način ) zanimljivo, jeste da je autor crva napravio grešku u izradi autorun.inf file-a što za posledicu ima da većina opcija iz shell menija ne može da pokrene malware:
shell\find\comand=md.exe <--- nedostaje jedno slovo.
Pri prvom pokretanju malwarea isti se kopira na hard disk i postavlja sebe kao shell:
============== Running Processes ===============
E:\md.exe<--- droper sa flash drive-a.
============== Pseudo HJT Report ===============
mWinlogon: Shell=%SystemRoot%\system32\user32.exe<--- kopija koja će da lock-uje mašinu
U ovom trenutku je Task Manager deaktiviran, no dodatnih simptoma nema.
Nakon restarta stvari postaju neprijatne:
. . .. . .
Ponašanje je isto i u normal i safe modu rada. Task Manager isključen, explorer nije pokrenut.
Sem ako korisnik jako dobro zna sa čime ima posla i šta traži, ovde se priča završava.
Ubacivanje drive-a, klik na OK, restart => mat u tri poteza.
Sam crv definitivno nije hi tech, ali obzirom na način rada, ovo parče malware-a (koga prosečan programer može da napiše uz kafu), je veoma nezgodna zverka.
Video nije idealan, no mislim da se vidi dovoljno.
Kompanije Dr.Web i Symantec su napravile generatore ključeva koji mogu da se iskoriste za pojedine varijante ovog malware:
) zanimljivo, jeste da je autor crva napravio grešku u izradi autorun.inf file-a što za posledicu ima da većina opcija iz shell menija ne može da pokrene malware:
