Så kallade rogueware, falsa säkerhetsprogram som varnar för virus eller andra hot, är ett påhittigt sätt som cyberkriminella använder för att tjäna pengar. En annan form av skadlig kod kallas för ransomware, där exempelvis en trojan ”kidnappar” dina filer och för att få tillgång till dem måste man betala pengar. Säkerhetsföretaget Trend Micro varnar nu för en trojan som kombinerar båda dessa båda tekniker.

Trojanen, kallad Troj_Fakeale.BG, är maskerad som ett hjälpprogram kallat ”Filefix”. Om man kör programmet så varnas för att skadliga filer upptäckts på datorn. Samtidigt krypteras filerna i mappen ”Mina dokument”. För att de påstått skadliga filerna ska tas bort, och man återigen får tillgång till sina filer, måste man betala 50 dollar. Någon skadlig kod, förutom själva trojanen, behöver dock inte finnas på datorn och det man egentligen uppmanas betala är en ”lösensumma” för de kidnappade filerna.

- Den här nya sortens webbhot bygger på en trend som vi har börjat att se mer och mer i de cyberkriminellas metoder, det vill säga den ökade mixen av attackmetoder. Vi har självklart sett falska antivirusprogram förut, vi har till och med sett flera exempel på så kallad ransomware, men de två hoten tillsammans är en ny utveckling, säger Rik Ferguson, säkerhetsexpert på Trend Micro.

Krypteringsnyckeln eller implementeringen av ransomware brukar vanligen knäckas av antivirusföretagen så att man får tillgång till filerna utan att betala något. I det här fallet förefaller det inte som att den ännu är knäckt, men Trend Micro skriver i sin virusdatabas att man håller på och analyserar de krypterade filerna för att försöka finna en lösning.

Också säkerhetsföretaget Fireeye skriver om trojanen. Enligt Fireeye förefaller det som att man får en ny form av .exe-fil varje gång det laddas ned. Tekniken kallas för server side polymorphics.

- Jag förmodar att det är för att försvåra virusdetektering, och det verkar fungera eftersom de jag laddat upp mot VirusTotal når 0/39.*

Fireeye har även tagit fram ett webbverktyg för att dekryptera filerna.

Per Hellqvist, säkerhetsexpert på Symantec säger till TechWorld Säkerhet att ransomware är relativt ovanligt men att det här, som av Symantec getts namnet Vondu, fått relativt omfattande spridning. Han uppmanar ingen att betala lösensumman.

- I alla fall som jag känner till har antivirusföretagen knäckt antingen lösenordet eller implementeringen. Det brukar ta ett par veckor, säger Hellqvist till TechWorld Säkerhet.

Per Hellqvist berättar vidare att en anledning till att VirusTotal inte detekterar trojanen troligen är att tjänsten är signaturbaserad och inte använder sig av de heuristiska metoder som flertalet antivirusprogram idag använder sig av.

*VirusTotal är en webbtjänst där man kan ladda upp misstänkta filer för att testa mot de större antivirusföretagen. "0/39" innebär att inget av antivirusföretagen upptäckte trojanen.

Källa: Trend Micro.

Källa: Fireeye.