Οι ερευνητές της ESET αναλύουν την πρώτη περίπτωση ransomware που δρα ταυτόχρονα ως πολυμορφικός παρασιτικός ιός.
Ένα νέο μέλος της οικογένειας ransomware εντόπισε η τηλεμετρία της ESET με την ονομασία Win32/VirLock. Είναι η πρώτη φορά που οι ερευνητές της ESET βλέπουν ransomware το οποίο κλειδώνει την οθόνη της συσκευής του θύματος, ενεργώντας παράλληλα ως πολυμορφικός παρασιτικός ιός που μολύνει τα αρχεία στη συσκευή του χρήστη. Για την επαναφορά των μολυσμένων από το VirLock αρχείων, οι χρήστες μπορούν να κατεβάσουν και να χρησιμοποιήσουν την ανεξάρτητη εφαρμογή της ESET για καθαρισμό.
Μέχρι σήμερα, το ransomware κατατασσόταν συνήθως σε δύο βασικές ομάδες: LockScreens και Filecoders. Σε σπάνιες περιπτώσεις, το ransomware έχει παρουσιαστεί σε μία υβριδική προσέγγιση, κατά την οποία κρυπτογραφεί αρχεία και παράλληλα κλειδώνει την οθόνη, εμφανίζοντας ένα μήνυμα που την καλύπτει ολόκληρη στο οποίο ζητά λύτρα. Παράδειγμα αυτής της περίπτωσης αποτελεί το Android/Simplocker – το πρώτο filecoder για Android που εντόπισε η ESET νωρίτερα αυτό το έτος.
Το VirLock μολύνει τα αρχεία μεταμορφώνοντας τα σε κρυπτογραφημένα εκτελέσιμα που περιέχουν αυτό το στέλεχος του ιού. Από ένα άλλο μέρος της επίθεσης, προκύπτει η δραστηριότητα του LockScreen, με τυπικά μέτρα προστασίας όπως η φραγή του explorer.exe, της διαχείρισης εργασιών – και η εμφάνιση του μηνύματος για τα λύτρα στην οθόνη.
«Από τεχνικής άποψης, προφανώς το πιο ενδιαφέρον με το VirLock είναι ότι είναι πολυμορφικός, δηλαδή ότι το σώμα του ιού είναι διαφορετικό τόσο για κάθε μολυσμένο αρχείο όσο και για κάθε φορά που εκτελείται. Επιπλέον, η ανάλυσή μας έχει αποκαλύψει πολλαπλά επίπεδα κρυπτογράφησης, γεγονός που συνηγορεί ότι ο δημιουργός του malware έχει πειραματιστεί αρκετά με το κώδικα» δήλωσε ο Robert Lipovsky, Ερευνητής Malware στην ESET.