Ruski hakeri koji šire ransomware Troldesh cenjkaju se sa žrtvama

Opisi virusa, 05.06.2015, 01:00 AM

Istraživači iz firme Check Point upozorili su na širenje ransomwarea nazvanog Troldesh, koji je poznat i pod nazivima Encoder.858 i Shade, koji je delo ruskih hakera koji su u ovom slučaju izgleda spremni da se cenjkaju sa žrtvama.

Ransomwarei koji šifruju fajlove su trenutno jedna najneprijatnijih sajber pretnji sa kojima se suočavaju korisnici, i to ne samo obični nego i poslovni korisnici. Dešavalo se da ovi malveri inficiraju računare u policijskim upravama koje, ako nije bilo backupa, nisu imale mnogo izbora nego da pristanu da sarađuju sa kriminalcima.

Troldesh primenjuje potpunu enkripciju fajlova, od sadržaja do naziva i ekstenzija fajlova.

Malver se širi putem spam emailova i ubrzo pošto zarazi sistem on započinje sa šifrovanjem podataka, menjajući ekstenzije fajlova u XBTL. Zatim malver prikazuje poruku o otkupu i usmerava žrtvu na Readme.txt fajl za više informacija.

Čak i ako nemaju rezervnu kopiju fajlova sa računara, žrtvama se ne savetuje da plaćaju, jer manjak korisnika voljnih da plate može okončati ovaj nelegalni biznis.

Sajber kriminalci obično ne komuniciraju sa žrtvama već se plaćanje automatski obavlja, kao i predaja ključeva za dešifrovanje. Kriminalci traže sve veće sume novca za vraćanje fajlova u originalno stanje, tako da većina njih sada traži po nekoliko stotina dolara za tu “uslugu”.

Međutim, kriminalci koji stoje iza ranosmwarea Troldesh žele da uvećaju zaradu i da pruže žrtvama jasna uputstva, pa zato nude mogućnost da ih žrtve kontaktiraju preko emaila.

U slučaju da korisnici zaraženih računara sumnjaju u to, oni koji su odgovorni za infekciju računara Troldeshom će ih uveriti da zaista mogu da dešifruju šifrovane fajlove.

Natalija Kolesova iz Check Pointa iskoristila je ovo i uspela da dobije popust od više od 50% od početnih 250 evra koliko su kriminalci najpre tražili. Ona se požalila da nije u mogućnosti da plati toliko posle čega su ucenjivači spustili cenu na 118 evra.

Sličan scenario smislili su i oni koji su širili ransomware TeslaCrypt, koji su takođe nudili popuste, a u nekim slučajevima su čak davali i besplatno ključeve za dešifrovanje fajlova.

Iako je sajber kriminalce ponekad moguće ubediti da pristanu na manju od početno zahtevane sume novca na ime otkupa, korisnici ne bi trebalo da se oslanjaju na to kada je u pitanju ova vrsta malvera. Kriminalci ih uvek mogu prevariti i ostaviti ih sa šifrovanim podacima.

Zato je redovno pravljenje rezervnih kopija i njihovo čuvanje na bezbednom mestu sa ograničenim pristupom iz glavnog računara, trenutno najbolja zaštita od kripto-malvera.