BackMyData ransomware elemzése
A Cyber Geeks elemezte a romániai kórházak megtámadására használt zsarolóprogramot. Egy február 11-én kezdődő zsarolóvírus-támadás miatt 100 romániai kórház kényszerült arra, hogy leállítsa rendszerét. A BackMyData zsarolóprogram, amely magára vállalta a felelősséget, a Phobos családhoz tartozik.
A malware beágyazott egy AES kulcsot, amelyet a fehérlistás kiterjesztéseket, fájlokat és könyvtárakat tartalmazó konfigurációjának visszafejtésére használnak, egy nyilvános RSA kulcsot, amelyet a fájlok titkosításához használt AES kulcsok titkosítására használnak, és más információkat. A jelenlétet a Run (Futtatás) rendszerleíró kulcs alatt egy bejegyzés létrehozásával és a kártevőnek a Startup (Indítás) mappába történő másolásával érik el. A zsarolóprogram titkosítja a helyi meghajtókat, valamint a hálózati megosztásokat. Törli az összes biztonsági másolatot, és parancsokat futtat a tűzfal letiltására.
A fájlokat az AES256 algoritmus segítségével titkosítja, az AES kulcsot a konfigurációból visszafejtett nyilvános RSA-kulccsal titkosítja. A kártevő minden titkosított fájl végére 6 egyéni bájtot csatol. A végén a zsarolóprogram két “info.txt” és “info.hta” nevű váltságdíjfizetési jegyzetet dob le, amelyek információkat tartalmaznak arról, hogyan lehet felvenni a kapcsolatot a fenyegető szereplővel.
A Cyber Geeks megosztotta az azonosításhoz szükséges mutatókat.