Ένα νέο ransomware με όνομα HC7 εμφανίστηκε και μολύνει υπολογιστές μέσω remote desktop υπηρεσίες.
Στην ουσία, πρόκειται για μια νέα έκδοση του HC6, ενός ιού που συζητήθηκε αρκετά στα forums τον μήνα Νοέμβριο προκειμένου να βρεθεί μια λύση ως προς την αντιμετώπιση του. Ο Michael Gillespie της ID Ransomware κατάφερε και δημιούργησε ένα εργαλείο (decryptor) το οποίο μπόρεσε να ξεκλειδώσει τα κρυπτογραφημένα αρχεία που είχαν μολυνθεί από τον HC6. Οι κατασκευαστές του ransomware, ως απάντηση σε αυτό, κυκλοφόρησαν μια βελτιωμένη έκδοση, το HC7. Ας δούμε λίγο πιο αναλυτικά πως λειτουργεί:
Όπως προαναφέραμε, το HC7 χρησιμοποιεί ευάλωτες υπηρεσίες remote desktop για να μπορέσει να εισχωρήσει σε ένα σύστημα. Στην συνέχεια, στοχεύει το αρχείο PsExec.exe. Το PsExec είναι ένα πολύ δυνατό εργαλείο το οποίο μπορεί να χρησιμοποιηθεί για καλούς αλλά και για κακούς σκοπούς. Η λειτουργία του είναι σχεδόν ίδια με αυτή του Telnet με μόνη διαφορά ότι δίνει πλήρη έλεγχο του υπολογιστή καθώς μπορεί κάποιος να κάνει απομακρυσμένη εγκατάσταση εφαρμογών και να εκτελεί εντολές χωρίς την παρέμβαση κάποιου ειδικού software. Εκμεταλλευόμενος αυτό, ο hacker κρυπτογραφεί πάνω από 250 διαφορετικούς τύπους αρχείων σε όλους τους προσβάσιμους υπολογιστές ενός δικτύου και τους δίνει την επέκταση “.GOTYA” . Στην συνέχεια, εμφανίζεται μια ειδοποίηση που ζητάει να στείλετε ένα ποσό (σχεδόν πάντα σε Bitcoin) προκειμένου να ξεκλειδωθούν τα αρχεία σας.
Την διαδικασία αποκρυπτογράφησης και ανάκτησης των δεδομένων από τον HC7 ransomware έδωσε ένας σύμβουλος ασφαλείας την οποία και δημοσιοποίησε (https://yrz.io/decrypting-hc7) πριν λίγες μέρες. Σας υπενθυμίζουμε ότι όταν χρησιμοποιείτε υπηρεσίες remote desktop καλό είναι να παρεμβαίνει κάποιο VPN και Firewall πρόγραμμα για περισσότερη ασφάλεια.