Ransomware Anatova godet lojtarët

Anatova është një ransomuer i ri i zbuluar nga McAfee në një rrjetë private peer-to-peer (P2P) dhe sipas tyre atakon kryesisht ata që luajnë lojëra kompjuterike (gamers) dhe kërkon nga ta një shpërblim prej 10 DASH, me vlerë rreth $725, për çelësat e dekriptimit.

Një familje e re ransomuerëve është duke u përhapur në rrjetet private të ndarjes së skedarëve të llojit peer-to-peer (P2P), sipas një raporti të McAfee Labs të lëshuar të martën.

Anatova përhapet në rrjetet kompjuterike – ku është i kyçur kompjuteri i infektuar, në një përpjekje për të infektuar skedarë të tjerë në atë rrjet.

Hulumtuesit e malware-ëve nga McAfee e zbuluan Anatova-n në një rrjetë private P2P, e cila po përdorte një ikonë të një loje kompjuterike apo të një aplikacioni me qëllim të nxitjes së shfrytëzuesit për ta shkarkuar atë.

Ransomueri Anatova mund të jetë një kërcënim shumë serioz, pasi ky ransomuer përkrahë zgjerimin modular me qëllim të zgjerimit të aftësive të tij në të ardhmen, duke i mundësuar atij të bëhet një vegël “malware” për të gjitha funksionet (all-in-one).

Përveç kësaj, ky ransomuer do të kërkoi nëse gjen dosje të ndara në rrjet (share) dhe do të enkriptoj skedarët që gjenden aty. Veçori tjetër e këtij ransomueri është që për çdo skedar të enkriptuar përdorë një çelës të veçantë, çka nuk ndodhë tek familjet e tjera të ransomuerëve.

Mostra e analizuar nga McAfee është 64 bitësh dhe mbanë datën e përpilimit 1 Janar 2019, duke e bërë atë një lloj relativisht të ri sulmesh. “Madhësia e skedarit të variantit të analizuar është 307 KB, por mund të ndryshojë për shkak të sasisë së burimeve të përdorura në mostër. Nëse heqim të gjitha këto burime, madhësia mbetet 32 KB, një program shumë i vogël me një mekanizëm të fuqishëm brenda”, deklaron Alexandre Mundo raportuesi i sigurimit në McAfee, i cili zbuloi këtë ransomware.

Siç është e zakonshme për familjet e malwareve, Anatova përdor një sërë metodash për të parandaluar analizën (zbulimin e tij nga programet anti-ransomware), me funksionet e pastrimit të memories dhe duke refuzuar të veproj pas kontrollimit të llogarisë së përdoruesit aktiv. Vargjet brenda programit janë të koduara me çelësa të ndryshëm, thirrjet e bëra në program janë dinamike, dhe përdorin API tipike të Windows-it dhe komponentët standarde të bibliotekës të gjuhës programuese C.

Anatova është hasur më shpesh në Shtetet e Bashkuara, Belgjikë, Gjermani dhe Francë. Ndonëse disa infeksione janë zbuluar në Rusi, malware është projektuar për të përjashtuar objektivat në vendet anëtare të Komonuelthit të Shteteve të Pavarura, përfshirë Azerbajxhanin, Bjellorusinë, Kazakistanin, Kirgistanin, Armeninë, Moldavinë, Rusinë, Taxhikistanin dhe Uzbekistanin, Egjipti, Maroku, Iraku dhe India, thuhet në raport.

Kur aktivizohet, Anatova identifikon proceset aktive dhe ndalon ato në një listë të zezë, siç është klienti i “Steam game” (lojës me avull) ose server i Microsoft SQL për të parandaluar që skedarët të jenë të mbrojtur (locked) gjatë procesit të enkriptimit. Pas kësaj, ajo kodon skedarët duke përdorur algoritmin Salsa20, duke lënë mënjanë skedarët EXE, DLL dhe SYS, si dhe dosjet si “Windows” dhe “Program Files” që i përkasin Windows. Ai gjithashtu kodon vetëm skedarët me madhësi prej 1 MB e më të vegjël, për të mos humbur kohë me skedarë të mëdhenj. Po ashtu, ku ransomware e shënon secilën skedar të enkriptuar ashtu që të mos provoj të enkriptoj dy herë të njëjtin, me qëllim të enkriptimit sa më të shpejtë.

Për të eliminuar mundësinë e kthimit te të dhënave nga kompjuteri i infektuar, Anatova i shkatërron kopjet hije (Shadow copies) të diskut dhe atë 10 herë radhazi. Këtë e bënë duke përdorë veglën ‘vssadmin’, që kërkon të drejta administrative.

Pas enkriptimit të skedarëve, Anatova do të shkruaj një shënim dhe do ta ruaj në dosjen e njëjtë me skedarin e enkriptuar.

Anatova kërkon nga viktima një shpërblim prej 10 DASH, i cili aktualisht është rreth 725 dollarë amerikanë për të dërguar çelësat për dekriptim.

Viktimat të cilat përgjigjen duke i kontaktuar në e-mailat e ofruar, pranojnë çelësat për të dekriptuar një skedar .jpg për t’u bindur që të kryej pagesën për çelësat e nevojshëm për dekriptimin e skedarëve të tjerë.

Si gjithmonë, për t’u mbrojtur nga ky dhe ransomware dhe të tjerë, mos shkarko programe/lojëra të dyshimta – përdor gjithnjë shitoret zyrtare të aplikacioneve (app Store) apo ato për të cilat je shumë i sigurt që nuk iu rrezikojnë. Instalo një program të mirë anti-virus, dhe ruaj shënimet rregullisht duke bërë backup të tyre.

——