V současné době uživatele ohrožuje nový ransomware HavanaCrypt. Podle informací ze společnosti TrendMicro se maskuje jako údajná aktualizace softwaru od společnosti Google. To uživatelům komplikuje jeho odhalení.
Aby se vyhnul detekci bezpečnostními systémy, HavanaCrypt pravděpodobně používá několik taktik. K nim patří i použití IP adresy webhostingu společnosti Microsoft, kterou zneužívá pro svůj příkazový a řídící server (C&C). Mnoho společností ji má nastavenou jako důvěryhodnou, a proto je i na bílé listině.
Bezpečnostní výzkumníci objevili nový malware: maskuje se jako aktualizace od Googlu
HavanaCrypt používá techniky, kterými se snaží obelstít Windows Defender a přinutit jej, aby neskenoval adresáře "Windows" a "User". | Zdroj: Windows Defender
Při šifrování obsahu napadeného systému malware používá ke generování šifrovacích klíčů funkci CryptoRandom programu KeePass Password Safe. Vyhýbá se šifrování souborů s konkrétními příponami nebo v určitých adresářích, včetně adresáře prohlížeče Tor. Naznačuje to, že autor malwaru může plánovat komunikaci prostřednictvím této sítě.
Podle bezpečnostních expertů by z toho důvodu společnosti měly službu Tor blokovat. Vzhledem k tomu, že pro mnoho z nich stejně nemá žádný význam, nemělo by to vést k žádným problémům.
Ransomware se stále velmi pravděpodobně nachází ve fázi vývoje. Alespoň prozatím se neobjevily žádné požadavky na výkupné za dešifrování souborů, které by souvisely s útoky prostřednictvím HavanaCryptu.
Zdroj: TrendMicro, Security Week