Kidnapper filene dine og krever løsepenger

Trojaneren Cryzip krypterer filene dine og krever 300 dollar i løsepenger for et passord som dekrypterer dem.

Cryzip bruker et kommersielt zip-bibliotek til å lagre brukerens dokumenter i en passordbeskyttet zip-fil. Trojaner-viruset legger så inn detaljinstrukser om hvordan du kan få tilbake filene ved på betale for dem.

Det er ennå ikke klart hvordan trojaneren sprer seg. Det skal dreie det seg om en epost-spam i liten skala som har unngått de vanlige antivirus-radarene og derfor ikke har blitt uoppdaget av mange sikkerhetsselskaper.

Løsepengevare

I det florerende ugresset av destruktiv progamvare som antivirusbransjen forsøker å sette navn på, har denne fått navnet det smått fantastiske navnet "ransomware" - eller løsepengevare.

- Dette er ikke noe helt nytt, men viser hvordan kodeangrepene blir mer og mer sofistikerte. Man utnytter kunnskap om brukeratferd for å lure ofrene til å installere destruktiv programkode, sier teknisk seniorkonsulent Shane Coursen i Kaspersky Labs til Eweek.com.

Pakker inn alt

En etterforskningsbase i Chicago, LURHQ Threat Intelligence Group, har greid å knekke krypteringskoden som ble brukt i Cryzip.

De fant også ut av hvordan filene ble kryptert og hvordan man trojaneren kunne installere en betalingsmekanisme for å kreve inn "løsepengene" på 300 dollar.

Ifølge LURHQ søker Cryzip etter en rekke helt vanlige filtyper som Word, Excel, PDF, TXT, og JPG. Straks filene er funnet, bir de pakket inn og overskrevet med teksten "Erased by Zippo! GO OUT!!!"

Trojaneren sletter derpå alle filene og etterlater seg en kryptert fil med det originale filnavnet og filtypen _CRYPT.ZIP.

E-Gold

Cryzip oppretter så en ny katalog kalt "AUTO_ZIP_REPORT.TXT", med detaljinstruksjoner om hvordan en elektronisk valuta kalt E-Gold, med tilhørende betalinggsystem, skal benyttes for å betale løsepengene.

"Hvis du virkelig bryr deg om dokumentene og informasjonen i de krypterte filene, kan du betale 300 dollar i elektronisk valuta" står det i merknaden, som på nokså dårlig engelsk gjør et stort poeng av at det er nytteløst å rapportere dette til politiet.

Den detaljerte rapporten fra LURHQ kan du lese her.