KillDisk – fałszywe ransomware, które wymazuje wszystkie Twoje dane


Wykryte przez ekspertów TrendMicro, blokuje dostęp do komputera i żąda okupu. Po bliższym przyjrzeniu się, nie jest to jednak "zwykły" ransomware

Za kulisami za sznurki mają pociągać cyberprzestępcy z Telebots - rosyjskiej grupy specjalizującej się w cyberszpiegostwie i najprawdopodobniej również autora ataku NotPetya. Krótko mówiąc, jest to grupa z poważnym dorobkiem, do której należy teraz dodać KillDiska, jedno z najnowszych cyberzagrożeń, które pojawiło się w sieci.

Wykryty przez badaczy MicroTrend, KillDisk przykuł uwagę nie tyle ze względu na swoje rozprzestrzenianie się - w tej chwili wydaje się być ograniczony do kontynentu amerykańskiego - co ze względu na swoje anomalne zachowanie. Chociaż początkowo wydaje się, że jest to jeden z wielu ransomware, które dręczą firmy i organizacje na całym świecie od pierwszej połowy 2017 roku, złośliwe oprogramowanie okazuje się być czymś innym. Transformacja, która czyni go jeszcze bardziej niebezpiecznym, niż może się początkowo wydawać. Przejdźmy jednak do porządku dziennego.

Jak zachowuje się KillDisk

Po zainfekowaniu komputera (pobranego, być może, ze skompromitowanej wiadomości e-mail lub portalu internetowego) i zainstalowaniu się na dysku twardym, KillDisk potrzebuje "akademickiego kwadransa", aby ponownie uruchomić komputer i wyświetlić zwykły ekran z żądaniem okupu. To właśnie to, co dzieje się w ciągu 15 minut, czyni z KillDiska bardzo osobliwy kawałek złośliwego oprogramowania: złośliwy program usuwa wszystkie foldery na dysku twardym i nadpisuje główny rekord rozruchowy (sekcja dysku twardego, gdzie znajdują się sterowniki i firmware potrzebne do uruchomienia systemu operacyjnego), aby uniemożliwić prawidłowe uruchomienie komputera.

Nawet jeśli użytkownik zdecyduje się zapłacić okup, będzie miał do czynienia z podwójnym oszustwem: brak klucza odblokowującego, a przede wszystkim brak szansy na odzyskanie usuniętych plików. W skrócie, KillDisk jest bardziej gumką niż ransomware.


Jak bronić się przed KillDiskiem

Rady dotyczące obrony przed atakiem złośliwego oprogramowania KillDisk nie różnią się zbytnio od tych dotyczących obrony przed ransomware i złośliwym oprogramowaniem w ogóle. Przede wszystkim nie należy pobierać załączników z niejasnych wiadomości e-mail lub od nieznanych nadawców. Unikaj klikania na skrócone linki, chyba że wiesz, do jakiej strony prowadzą.

Na koniec, ten nowy rodzaj złośliwego oprogramowania ma również, jak kto woli, wartość edukacyjną. KillDisk po raz kolejny udowadnia, gdyby dowód był potrzebny, że nigdy nie powinieneś płacić okupu w przypadku infekcji ransomware. Oprócz ryzyka zetknięcia się ze złośliwym oprogramowaniem, które skasuje zawartość dysku, nie pozostawiając szans na jego odzyskanie, może się również zdarzyć, że hakerzy zgubią się z łupem i nie prześlą klucza odblokowującego kryptografię.