Novi ransomware se kao požar širi Kinom, za par dana inficirano 100000 računara
Vesti, 06.12.2018, 00:30 AM
Više od 100000 hiljada računara u Kini je inficirano za samo nekoliko dana loše napisanim ransomwareom koji šifruje lokalne fajlove i krade korisnička imena i lozinke za nekoliko kineskih online servisa.
Sajber-kriminalci zahtevaju od žrtava otkupninu od 110 juana (16 dolara) u zamenu za dešifrovanje fajlova. Otkupninu treba platiti preko Tencentovog WeChat platnog servisa skeniranjem QR koda.
Prema izveštaju kineske firme Huorong, malver nazvan "WeChat Ransom", pojavio se 1. decembra, a do 4. decembra broj inficiranih sistema porastao je na preko 100000.
Istraživači kažu da je autor malvera koristio kinesku društvenu mrežu Douban za slanje komandi. Posle analize malvera, oni su mogli da pristupe serverima koji se koriste za čuvanje podataka i na jednom od dva servera kojima su pristupili istraživači, pronađeno je preko 20000 lozinki za Taobao i Alipay naloge.
Malver krade i lozinke za druge online servise, uključujući i lozinke za Tmall, Aliwangwang, Alipay, 163 Mailbox, Baidu Cloud, Jingdong i QQ.
Prema informacijama iz Tencenta, malver se širio preko kompromitovane popularne aplikacije dizajnirane da upravlja istovremeno sa više QQ naloga. Autor malvera je kompromitovao još najmanje 50 aplikacija da bi one širile ransomware.
Telemetrijski podaci pokazaju da veliki broj žrtava nije imao instalirano sigurnosno rešenje na sistemu. Ovo objašnjava ogroman broj infekcija, uprkos tome što su antivirusne kompanije upozoravale na pretnju od početka meseca i ažurirale svoje antivirusne proizvode kako bi je blokirale.
Kineske sigurnosne kompanije koje analiziraju malver se slažu da je on daleko od kompleksne pretnje.
Iako tvrdi da briše ključ za dešifrovanje ako žrtva ne isplati otkup u zadatom roku, oporavak fajlova je i dalje moguć jer je ključ hardkodovan u malveru.
Jednostavnost šifrovanja fajlova (XOR, a ne DES kao što tvrdi autor u obaveštenju o otkupu) takođe omogućava dešifrovanje pomoću alata nekoliko kompanija, uključujući Qihoo, Tencent i Huorong.
Stručnjaci iz Huoronga koji su analizirali ovaj ransomware pronašli su neke detalje koji mogu dovesti do identifikacije i hapšenja autora malvera. Oni su otkrili ime, broj mobilnog telefona, QQ nalog i email adresu što bi moglo pomoći policiji da uhvati kriminalca koji stoji iza ove epidemije.
Izdvojeno
Google oglasi za Facebook vode do sajtova prevaranata
Google ima problem sa oglasima u pretrazi, upozorio je programer Džastin Poliačik, a njegove reči potvrdili su i istraživači kompanije Malwarebyt... Dalje
Zloglasna ransomware grupa HelloKitty najavila povratak i novo ime
Sajber kriminalci iz ransomware grupe ranije poznate kao HelloKitty objavili su da se naziv grupe menja u „HelloGookie“. Oni su objavili n... Dalje
Piramidalna šema prevare na Telegramu
Istraživači kompanije Kasperski upozorili su na prevarante koji koriste sofisticiranu taktiku da ukradu Toncoine (TON) od korisnika Telegrama širom... Dalje
Od početka godine ransomware grupa Akira napala 250 organizacija od kojih je pokušala da naplati 42 miliona dolara
Da posao sa ransomwareom cveta pokazuju i podaci o ransomware grupi Akira koja je za manje od godinu dana rada iznudila milione od na stotine pogođen... Dalje
Microsoft je i dalje brend koji se najviše zloupotrebljava u phishing napadima
Prema podacima kompanije Check Point, Microsoft je brend koji se najviše zloupotrebljavao, u čak 38% svih phishing napada u prvom kvartalu 2024. Ovo... Dalje
Pratite nas
Nagrade