Ransomware bepaalt losgeld op basis van bestandsnaam
Onderzoekers hebben een nieuw ransomware-exemplaar ontdekt dat het gevraagde losgeld aan slachtoffers baseert op de eigen bestandsnaam. De meeste ransomware-exemplaren maken gebruik van een vast bedrag dat gebruikers moeten betalen om hun versleutelde gegevens te ontsleutelen.
In het geval van de nu ontdekte variant van de Fantom-ransomware wordt er een apart proces gebruikt om het losgeldbedrag te bepalen. Dit laat de ontwikkelaar met hetzelfde exemplaar verschillende campagnes uitvoeren, maar afhankelijk van de bestandsnaam verschillende bedragen vragen. Als de ransomware-ontwikkelaar thuisgebruikers als doelwit heeft geeft hij de ransomware een bestandsnaam die om een lager bedrag vraagt dan wanneer bedrijven of organisaties het doelwit zijn. Het aanpassen van de bestandsnaam is hiervoor voldoende, zo laat de website Bleeping Computer weten.
Zodra de Fantom-ransomware op een systeem wordt uitgevoerd controleert die de eigen procesnaam, die hetzelfde als de bestandsnaam is. Op basis hiervan wordt het losgeldbedrag bepaald. Ook wordt de procesnaam gebruikt voor vermelden van een specifiek e-mailadres om te betalen. De nieuwste versie van de Fantom-ransomware is daarnaast ook in staat om bestanden op systemen die het heeft geïnfecteerd, maar niet over een internetverbinding beschikken, te versleutelen en kan het netwerkmappen versleutelen.
Er is niets nieuws aan het gebruik van verschillende namen van executables om functionaliteit aan te sturen. De tekst-editor vim kan in "diff mode" gestart worden via een commandline-optie of door als commando vimdiff in plaats van vim te gebruiken. Die verwijzen naar dezelfde executable. Het audio-conversieprogramma sox kan ook muziek afspelen door het als play te starten of informatie over een audiobestand weergeven door het als soxi te starten. Het zijn steeds symbolic links naar dezelfde executable die als procesnaam zichtbaar worden en daar reageert het proces op door zich anders te gedragen. Niets nieuws onder de zon.
Wat bij deze ransomware eigenaardig is is dat concrete waarden als bedrag en e-mailadres in de executablenaam gecodeerd zijn. Ik neem aan dat ergens geregeld wordt dat die executable ook gestart wordt, en dan moet je om de gewenste instellingen te krijgen dus de executablenaam én een referentie eraan aanpassen. Als met gewone commandline-argumenten gewerkt was (ransom.exe amount=6 email=crook@example.com) had het maar op één plaats aangepast moeten worden.
Wat me opvalt aan de codevoorbeelden die Bleeping Computer geeft is dat het bedrag in een lange reeks if's wordt uitgevraagd die op een detail na gelijkvormig zijn. Dat kan compacter en onderhoudbaarder gecodeerd worden als je een regular expression gebruikt. En er wordt er verderop een gebruikt om het e-mailadres te extraheren, en wel een razend ingewikkelde. Nou kan je in e-mailadressen zoveel exotische, zelden gebruikte onderdelen proppen dat regular expressions die dat volledig aankunnen inderdaad erg ingewikkeld worden, maar voor een e-mailadres dat je zelf in de commandonaam zet kan je met iets veel simpelers volstaan. Dat de programmeur twee simpele regular expressions (voor het bedrag en het e-mailadres) niet heeft opgesteld en een onnodig ingewikkelde voor het e-mailadres heeft gebruikt doet vermoeden dat hij zelf geen regular expressions weet te schrijven en de laatste gewoon ergens vandaan heeft gekopieerd, er zijn er zat te vinden op het web.
Al met al krijg ik de indruk dat dit een programmeur is die nog heel wat te leren heeft. Hij weet natuurlijk ruimschoots genoeg om gevaarlijk te zijn, maar wat "by far the most interesting feature" genoemd wordt vind ik er vooral uitzien alsof het niet al te handig is opgezet.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.