- A fertőzési folyamat megértése
Egy új ransomware fordul elő a népszerű távoli asztali eszköz, az AnyDesk, kihasználása után. A ransomware, amelyet BlackRouter-nek neveznek, a rosszindulatú hasznos terheléssel együtt terjed, és ezzel súlyos károkat okozhat.
Csakúgy, mint a Teamviewer (amelyet korábban is kihasználtak), az AnyDesk kétirányú vezérlést kínál a felhasználóknak az operációs rendszer, azaz a Linux, a MacOS, a FreeBSD és a Linux között. Ez azonban nem korlátozódik csak az asztali operációs rendszerekre, hanem támogatást nyújt az iOS és az Android számára is.
Mivel a BlackRouter az AnyDesk-hez tartozik, amely egy megbízható eszköz, így sikerült elkerülni az észlelést.
A fertőzési folyamat megértése
A ransomware működése az, hogy azt az AnyDesk-rel kell letölteni a különféle külső webhelyekről.
A letöltés és a telepítés után a BlackRouter két másik fájlt másol a számítógépen a következő rosszindulatú folyamatok végrehajtása érdekében:
- % Felhasználói Temp% \ BLACKROUTER.exe
- % Felhasználói Temp% \ ANYDESK.exe
Az AnyDesk.exe hozzáférést biztosít az ügyfélnek az ügyfél csevegéséhez, fájlátvitelhez és naplózási munkamenetekhez. De ez az AnyDesk régebbi verziójára korlátozódik, és nem egy újra. Ami a BLACKROUTER.exe-t illeti, az ransomware a rendszereket különféle kiterjesztésekre kódolja, azaz .xks, .gif, .pdf stb.
Amint a ransomware megteszi azt, amit állítólag meg fog tenni, 50 dollár értékű Bitcoin-t fog igényelni, miután a hozzáférést nyilvánvalóan a Telegram biztosítja. Ezenkívül arra figyelmezteti a felhasználókat, hogy ne állítsák le számítógépüket, hogy megakadályozzák a titkosított fájlok végleges zárolását.
Jelenleg tanácsos maradni minden más távoli asztali megosztási alkalmazástól. Bármennyire problematikus is, ez jelenleg az egyetlen megoldás. Ezenkívül feltétlenül használjon VPN-t biztonságos és névtelen online állapotban, kivéve, ha rossz tömeg szeretné megfigyelni őket. Nem? Nem gondoltam.