Povratak ransomwarea Cryptowall: Maliciozni help (.chm) fajl u spam emailovima

Anti-spam, 10.03.2015, 00:30 AM

Povratak ransomwarea Cryptowall: Maliciozni help (.chm) fajl u spam emailovima

Stručnjaci kompanije Bitdefender upozorili su na novi talas spam emailova sa malicioznim help .CHM fajlovima inficiranim downloader malverom koji isporučuje ozloglašeni ransomware Cryptowall.

Cryptowall je unapređena verzija Cryptolockera, ransomware koji šifruje fajlove, poznat po tome što se maskira u bezazlene programe ili fajlove. Ubrzo pošto se pokrene, on započinje šifrovanje fajlova na zaraženom računaru da bi zatim žrtvi bio prikazan zahtev da plati otkup za šifrovane fajlove, pod uslovom da žrtva plati digitalnom valutom bitcoin.

Stručnjaci Bitdefendera sada upozoravaju na talas spam emailova koji su se pojavili krajem februara, i koji se šalju na email adrese korisnika u celom svetu. Analiza istraživača Bitedefendera otkrila je da su spamerski serveri u Vijetnamu, Indiji, Australiji, SAD, Rumuniji i Španiji.

Spam email poruke su osmišljene tako da prevare korisnike da pokrenu CHM fajl za koji se tvrdi da je faks, što ukazuje da sajber kriminalci ciljaju na poslovne korisnike koji se još uvek oslanjaju na faks kao sredstvo komunikacije.

Kada se pristupi sadržaju CHM arhive, maliciozni kod se preuzima sa lokacije http://*********/putty.exe, i čuva se kao %temp%\natmasla2.exe i pokreće se malver.

Reč je o malveru CryptoWall 3.0 koji je najnovija verzija ovog malvera koja je prvi put primećena sredinom januara.

Prema rečima analitičara pretnji u kompaniji Bitdefender Bogdana Botezatua, napadači koriste različite downloadere u ovoj kampanji.

Kampanja je započela 18. februara kada je oko 300 infekcija zabeleženo samo u SAD. Najpogođenije zemlje su SAD, Japan, Australija, Kanada, Nemačka, Velika Britanija i Rumunija, ali dosta infekcija ima i u Holandiji, Danskoj, Švedskoj i Slovačkoj.

CHM fajlovi obično idu u paketu sa softverom za koji sadrže uputstvo o tome kako funkcioniše. Oni se sastoje od kompresovanih HTML fajlova, slika i JavaScript sadržaja. Jedna od funkcija CHM fajla je automatsko preusmeravanje na eksterne web adrese.

Napadači koriste CHM fajlove da bi automatski pokrenuli maliciozni payload kada se fajl otvori.

“To ima smisla: manje korisničke interakcije, veće šanse za infekciju”, kaže Katalin Kozoi iz Bitdefendera.

Jedan od najboljih načina da se izbegne šteta kao posledica infekcije ransomwareom koji šifruje fajlove je da se radovno pravi rezervna kopija (backup) na izolovanom sistemu ili uređaju za skladištenje sa ograničenim pristupom. Ipak, da bi se sprečilo da do infekcije uopšte dođe najbolje je koristiti ažuriran renomirani antivirus i uzdržavati se od otvaranja fajlova i poruka koje šalju nepoznati.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Ukradene informacije korisnika LinkedIna se koriste za širenje bankarskog trojanca Zeus Panda

Ukradene informacije korisnika LinkedIna se koriste za širenje bankarskog trojanca Zeus Panda

Na email adrese evropskih korisnika LinkedIna počeli su da stižu maliciozni emailovi što je očigledno posledica curenja podataka korisnika LinkedI... Dalje

Spam emailovi koje navodno šalje Facebook kriju trojanca Nivdort

Spam emailovi koje navodno šalje Facebook kriju trojanca Nivdort

Dve nedelje pošto su istraživači kompanije Comodo upozorili korisnike WhatsAppa na spam emailove koji šire malver Nivdort, iz ove kompanije stiže... Dalje

Kako spameri zloupotrebljavaju Dropbox i Google+ email obaveštenja

Kako spameri zloupotrebljavaju Dropbox i Google+ email obaveštenja

Email obaveštenja koje šalju servisi kao što je Dropbox i društvene mreže kao što je Google+ koriste se da bi se izbegli spam filteri a korisnic... Dalje

Fišing napad na korisnike sajta Alibaba.com

Fišing napad na korisnike sajta Alibaba.com

Kompanije i korisnici koji možda koriste kineski sajt Alibaba.com mogli bi biti žrtve pokušaja fišinga na koje je upozorila kompanija Comodo. Fiš... Dalje

Windows 10 nadogradnja mamac za širenje ransomwarea CTB-Locker

Windows 10 nadogradnja mamac za širenje ransomwarea CTB-Locker

Microsoft je 29. jula objavio Windows 10 koji je kao besplatna nadogradnja dostupan korisnicima koji trenutno koriste Windows 7 ili Windows 8. Sajber ... Dalje