Duže je već vrijeme poznata činjenica da crypto ransomware malver ograničava pristup zaraženom računalnom sustavu, najčešće šifriranjem datoteka na sustavu, i zahtijevanjem plaćanja otkupnine u zamjenu za dešifriranje šifriranih datoteka. Kako je za uspješno izvođenje napada obično potrebna veza s internetom radi šifriranja žrtvinih datoteka, organizacije upravo iz tog razloga preventivno blokiraju odlazni internet promet iz lokalne mreže. Ovakva funkcionalnost malvera bila je poznata sve do rujna ove godine kada je otkriven novi oblik ransomware malvera (tzv. “Offline”), koji, osim što mijenja naziv šifriranih datoteka, mijenja i pozadinsku sliku radne površine (wallpaper) u poruku, napisanu na ruskom, koja kaže “Your files are encrypted, if you wish to retrieve them, send 1 encrypted file to the following mail address: [some E-mail address] ATTENTION!!! You have 1 week to mail me, after which the decryption will become impossible!!!!”

Žrtvine datoteke šifriraju se korištenjem RSA javnog ključa generiranog na zaraženom računalu. Podudarajući privatni ključ (ključ za dešifriranje) se tada šifrira korištenjem triju javnih ključeva trajno zapisanih u programskom kodu malvera. Napadači posjeduju podudarajuće privatne ključeve za tri trajno zapisana ključa unutar aplikacije, što im omogućuje jednostavno dešifiranje ključa. Budući da se ključ za dešifriranje šifrira korištenjem tri RSA ključa, svaki pokušaj dešifriranja ključa primjenom “brute force” metode je krajnje uzaludan. Istraživači iz Check Pointa su, radi testa, poslali e-mail poruku napadaču te zaprimili odgovor sa zahtjevom uplate od 20,000 ruskih rubalja (RUB) istoga dana ili 25,000 (oko $380) idućeg dana, kako bi dobili program i ključ za dešifriranje. Standardne preporuke za izbjegavanje zaraze ovim malverom uključuju redovito ažuriranje Anti-Virus proizvoda, filtriranje e-mail poruka koje sadrže phishing URL-ove, educiranje zaposlenika o tome kako prepoznati phishing poruke i kako sigurno koristiti internet te osiguravanje procedura ili osnivanje tima za odgovor na incident i postupanje s virusnim infekcijama.

Check Point je objavio stručni rad s detaljima procesa reverznog inženjeringa ransomware malvera.