Nem válogatós a Filecoder zsaroló program

A Filecoder zsaroló program legújabb variánsa jelentős pusztítást képes okozni a fertőzött számítógépeken.
 

A Filecoder.ODM zsarolóvírus az elődjeihez hasonlóan fájlok titkosításával próbálja rávenni a felhasználót arra, hogy teljesítse a csalók követeléseit. A feladatának ellátásához rendelkezik egy kiterjesztéslistával, amely alapján kiválasztja a kompromittálandó fájlokat. A lista sajnos nagyon hosszú, így dokumentumokat, képeket, multimédiás állományokat, adatbázisokat, szöveges fájlokat, forráskódokat is képes tönkre tenni.
 
A károkozó EC és ChaCha20 algoritmusok segítségével hajtja végre a károkozást. Ennek során a titkosított fájlok kiterjesztését is módosítja, majd eltávolítja az árnyékmásolatokat, hogy a helyreállítást ezzel is megnehezítse. A titkosítást helyi, cserélhető és hálózati megosztásokon is képes elvégezni.
 
A Filecoder képes adatszivárogtatásra is. A jelenlegi variánsa a fertőzött számítógép nevéről és az azon éppen bejelentkezett fiók nevéről értesíti a terjesztőit.
 
Amikor a Filecoder.ODM zsaroló program elindul, akkor az alábbi műveleteket hajtja végre:
 
1. Egy kiterjesztéslista alapján fájlokat keres.
 
2. A kiválasztott állományokat titkosítja. Kivételt azokkal a fájlokkal tesz, amelyek nem szerepelnek a kiterjesztéslistáján vagy az alábbi mappákban találhatók:
Program Files
Program Files (x86)
System Volume Information
Windows
 
3. A kompromittált állományok kiterjesztését kiegészíti a titkosításhoz használt publikus kulccsal.
 
4. A rendszeren létrehoz YOUR_FILES_ARE_ENCRYPTED.HTML nevű fájlokat.
 
5. Megjeleníti a zsaroló üzenetét.
 
6. Lekérdezi a számítógép nevét és a felhasználónevet.
 
7. Az összegyűjtött adatokat kiszivárogtatja egy távoli kiszolgálóra.
 
8. Eltávolítja az árnyékmásolatokat.