Ransomware Anatova čeká na oběti na P2P sítích např. v pirátských hrách
27.1.2019, Milan Šurkala, aktualita
Snaha ušetřit, nebo se vyhnout DRM ochraně, často vede ke stahování pirátských aplikací z P2P sítí. Tam jsou ale často viry a v poslední době i ransomware. Jeden z nich, Anatova, může vyjít nakonec docela draho.
P2P (peer-to-peer) sítě jako různé formy torrentů se stále používají ke stahování nelegálního obsahu, byť v dnešní době streamovacích služeb se alespoň některé typy obsahu (hudba a film) už “nepirátí” tolik jako dřív. Přesto tu máme i nadále hry a jiné aplikace, jejichž pirátským stažením chtějí lidé ušetřit a spolu s tím shání různé nebezpečné cracky a podobně, aby bylo možno nelegální obsah spustit a obejít jeho ochranu. Riziko není malé a ukazuje to i nová hrozba v podobě ransomware Anatova, který se právě ukrývá v mnoha instalacích pirátských her a aplikacích na P2P sítích.
zdroj: www.elbpresse.de [CC BY-SA 4.0], přes Wikimedia Commons
Tento ransomware se poprvé objevil 1. ledna letošního roku, zkoumala jej poprvé antivirová společnost McAfee a je dost nebezpečný zejména svou modularitou, která dovoluje rozšiřovat schopnosti malwaru postupem času. Pokud napadne počítač oběti, zašifruje některé soubory na disku a vyžaduje platbu 10 DASH (jedna z mnoha kryptoměn), což je v dnešní době asi 15 tisíc Kč. Ransomware se vyhýbá systémovým složkám, jako jsou Windows nebo Program Files, šifruje také jen menší soubory s velikostí do 1 MB, aby vše bylo velmi rychlé. Uživateli pak dovolí zdarma rozšifrovat jeden JPEG s velikostí do 200 kB, aby věřil, že data lze platbou skutečně zachránit. Zašifrování je provedeno pomocí RSA klíčů a připomíná tak např. útoky ransomwaru GandCrab nebo Crysis.
Je možné, že autoři ransomwaru pochází z některé z bývalých sovětských republik, ale není to zdaleka jisté. Malware se totiž při detekci některých zemí sám vypne a nenapadne systém. V tzv. whitelistu je Společenství nezávislých států (některé z bývalých států Sovětského svazu), Sýrie, Egypt, Maroko, Irák a Indie. Zatímco výjimka pro státy SNS je u ransomwaru docela běžná (spousta ho pochází ze států bývalého Sovětského svazu), přidání dalších států je už méně obvyklé. Ransomware byl zatím spatřen jako aktivní na počítačích především v USA a státech EU (zejména Belgie, Francie, Německo a Velká Británie).
