image

Ransomware bepaalt losgeld op basis van bestandsnaam

donderdag 22 september 2016, 11:03 door Redactie, 1 reacties

Onderzoekers hebben een nieuw ransomware-exemplaar ontdekt dat het gevraagde losgeld aan slachtoffers baseert op de eigen bestandsnaam. De meeste ransomware-exemplaren maken gebruik van een vast bedrag dat gebruikers moeten betalen om hun versleutelde gegevens te ontsleutelen.

In het geval van de nu ontdekte variant van de Fantom-ransomware wordt er een apart proces gebruikt om het losgeldbedrag te bepalen. Dit laat de ontwikkelaar met hetzelfde exemplaar verschillende campagnes uitvoeren, maar afhankelijk van de bestandsnaam verschillende bedragen vragen. Als de ransomware-ontwikkelaar thuisgebruikers als doelwit heeft geeft hij de ransomware een bestandsnaam die om een lager bedrag vraagt dan wanneer bedrijven of organisaties het doelwit zijn. Het aanpassen van de bestandsnaam is hiervoor voldoende, zo laat de website Bleeping Computer weten.

Zodra de Fantom-ransomware op een systeem wordt uitgevoerd controleert die de eigen procesnaam, die hetzelfde als de bestandsnaam is. Op basis hiervan wordt het losgeldbedrag bepaald. Ook wordt de procesnaam gebruikt voor vermelden van een specifiek e-mailadres om te betalen. De nieuwste versie van de Fantom-ransomware is daarnaast ook in staat om bestanden op systemen die het heeft geïnfecteerd, maar niet over een internetverbinding beschikken, te versleutelen en kan het netwerkmappen versleutelen.

Reacties (1)
23-09-2016, 09:32 door Anoniem
Kennelijk vindt men het gebruik van de programmanaam om de werking aan te sturen bij Bleeping Computer "by far the most interesting feature", maar ik kan er niet van onder de indruk zijn. Het is gewoon een programma dat runtime-opties ontvangt en dat op een wat eigenaardige manier doet die vermoedelijk vooral onhandig is.

Er is niets nieuws aan het gebruik van verschillende namen van executables om functionaliteit aan te sturen. De tekst-editor vim kan in "diff mode" gestart worden via een commandline-optie of door als commando vimdiff in plaats van vim te gebruiken. Die verwijzen naar dezelfde executable. Het audio-conversieprogramma sox kan ook muziek afspelen door het als play te starten of informatie over een audiobestand weergeven door het als soxi te starten. Het zijn steeds symbolic links naar dezelfde executable die als procesnaam zichtbaar worden en daar reageert het proces op door zich anders te gedragen. Niets nieuws onder de zon.

Wat bij deze ransomware eigenaardig is is dat concrete waarden als bedrag en e-mailadres in de executablenaam gecodeerd zijn. Ik neem aan dat ergens geregeld wordt dat die executable ook gestart wordt, en dan moet je om de gewenste instellingen te krijgen dus de executablenaam én een referentie eraan aanpassen. Als met gewone commandline-argumenten gewerkt was (ransom.exe amount=6 email=crook@example.com) had het maar op één plaats aangepast moeten worden.

Wat me opvalt aan de codevoorbeelden die Bleeping Computer geeft is dat het bedrag in een lange reeks if's wordt uitgevraagd die op een detail na gelijkvormig zijn. Dat kan compacter en onderhoudbaarder gecodeerd worden als je een regular expression gebruikt. En er wordt er verderop een gebruikt om het e-mailadres te extraheren, en wel een razend ingewikkelde. Nou kan je in e-mailadressen zoveel exotische, zelden gebruikte onderdelen proppen dat regular expressions die dat volledig aankunnen inderdaad erg ingewikkeld worden, maar voor een e-mailadres dat je zelf in de commandonaam zet kan je met iets veel simpelers volstaan. Dat de programmeur twee simpele regular expressions (voor het bedrag en het e-mailadres) niet heeft opgesteld en een onnodig ingewikkelde voor het e-mailadres heeft gebruikt doet vermoeden dat hij zelf geen regular expressions weet te schrijven en de laatste gewoon ergens vandaan heeft gekopieerd, er zijn er zat te vinden op het web.

Al met al krijg ik de indruk dat dit een programmeur is die nog heel wat te leren heeft. Hij weet natuurlijk ruimschoots genoeg om gevaarlijk te zijn, maar wat "by far the most interesting feature" genoemd wordt vind ik er vooral uitzien alsof het niet al te handig is opgezet.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.