Bezpečnostní experti z MalwareHunterTeam oznámili na sociální síti Twitter objevení nového ransomwaru Onyx. Od většiny podobných škodlivých aplikací se liší zejména tím, že velké soubory v napadených počítačích místo šifrování přepisuje náhodnými daty, čímž je nevratně poškozuje.
Podobně, jako mnohé jiné ransomwary, i Onyx před zašifrováním dat provede jejich odeslání na servery útočníků. Ti je pak využívají v rámci vydírání, kdy chtějí po oběti výkupné nejen za slibované dešifrování, ale také za to, že získaná data nezveřejní.
Ransomware Onyx
Ransomwarový gang stojící za Onyxem je zatím ve svých snahách poměrně úspěšný – na svých webových stránkách se chlubí šesti obětmi z řad firem a institucí. Dle dosavadních zjištění je založen na jiném úspěšném ransomwaru označovaném jako Conti.
Jak ukázala rozborka zdrojového kódu, soubory menší než 200 MB Onyx regulérně šifruje a přiřazuje jim náhodně vygenerovanou příponu. Všechny soubory větší než 200 MB však přepisuje náhodnými daty. Kvůli tomu není možné je dešifrovat, a to ani v případě zaplacení požadovaného výkupného.
Zdrojový kód ransomwaru Onyx
Odborníci si kladou otázku, zda se jedná o chybu, nebo záměr. MalwareHunterTeam na základě analýzy zdrojového kódu soudí, že ransomware byl vyvinut s úmyslem zničit největší soubory bez ohledu na to, zda oběť bude, či nebude ochotná platit.
Dvojité vydírání
V souboru s požadavkem na výkupné je uvedeno, že by se oběti neměly pokoušet obnovit data ručně, protože je mohou poškodit. Tvrdí, že soubory jsou zašifrované a lze je dešifrovat podle pokynů na webové stránce umístěné v síti Tor. Útočníci dále vyhrožují zveřejněním ukradených dat, pokud se oběti s útočníky nespojí (a nezaplatí jim).
Všeobecně je v případě ransomwarového útoku doporučeno neplatit výkupné, a to nejen s ohledem na fakt, že oběť vůbec nemusí obdržet slibovaný nástroj pro dešifrování dat, ale i proto, aby útočníci neměli finanční motivaci. V tomto případě pak zaplacení vyděračům nedává smysl, neboť jakékoli soubory větší než 200 MB není možné obnovit.
