Цхеерсцрипт Рансомваре

Истраживачи сајбер безбедности открили су нову породицу рансомваре-а засновану на Линук-у која циља ВМваре ЕСКСи сервере. Детаљи о овом конкретном малверу откривени су у извештају Тренд Мицро-а, који прати претњу као Цхеерсрипт или Цхеерс Рансомваре. Треба напоменути да ово није први злонамерни покушај експлоатације ЕСКСи сервера. Раније су све породице рансомваре-а као што су ЛоцкБит , Хиве и РансомЕКСКС циљале ЕСКСи системе, са намером да изнуде новац од погођених организација.

Предузећа нашироко користе ЕСКСи за креирање и покретање виртуелних машина (ВМ), док деле исту меморију диска. Широко усвајање од стране организација свих величина и географских локација учинило је ЕСКСи сервере уносном метом за организације сајбер криминала.

Технички детаљи

Пре него што се може у потпуности применити на зараженом уређају, Цхеерсцрипт захтева одређени улазни параметар који одређује тачну путању за шифровање. Након тога, претња ће имплементирати и извршити наредбу за прекид тренутно покренутих ВМ процеса преко ЕСКСЦЛИ. То чини како би се осигурало успешно шифровање датотека повезаних са ВМваре-ом које би иначе могле бити недоступне. На крају крајева, претња посебно циља датотеке са екстензијама '.лог', '.вмдк', '.вмем', '.всвп' и '.вмсн'.

За своју рутину шифровања, Цхеерсцрипт користи комбинацију СОСЕМАНУК стреам шифре и ЕЦДХ. Датотеке су шифроване помоћу СОСЕМАНУК-а, док је ЕЦДХ одговоран за генерисање кључа. Свака закључана датотека ће имати '.Цхеерс' додат свом имену као нову екстензију. Посебна карактеристика претње је да мења имена датотека пре него што започне њихово шифровање.

Обавештење о откупнини компаније Цхеерсцрипт открива да његови оператери сајбер криминалаца воде шему двоструке изнуде. Осим што су закључали досијее својих жртава, хакери такође тврде да су прикупили вредне поверљиве информације из проваљених система. Уколико њихови захтеви не буду испуњени у року од 3 дана, актери претњи упозоравају да ће приступити јавном објављивању добијених информација.