Napadi ransomwarea u Ukrajini nastavljeni

Vesti, 04.07.2017, 01:30 AM

Napadi ransomwarea u Ukrajini nastavljeni

Ukrajinu je pogodio četvrti talas napada ransomwarea, koji sledi sličan obrazac kao i prethodne tri kampanje širenja ransomwarea kao što su XData, PScrypt i NotPetya, koje su u skorije vremene zadesile Ukrajinu.

Ransomware je krajem prošle nedelje otkrio istraživač MalwareHunter koji kaže da su mu pažnju privukli korisnici iz Ukrajine koji su postavljali uzorke malvera na VirusTotalu.

U prethodnih mesec i po dana, Ukrajina je bombardovana ransomwareima. Prvi ransomware XData se pojavio u Ukrajini sredinom maja, drugi PSCrypt pretprošle nedelje, a za njim je usledio sada već čuveni NotPetya.

Četvrti ransomware počeo je da se širi prošlog ponedeljka, dan pre NotPetya ransomwarea. Ransomware izgleda kao WannaCry ransomware koji je sredinom maja inficirao stotine hiljada računara.

MalwareHunter kaže da je ransomware dizajniran tako da izgleda kao WannaCry, ali on nije njegova kopija. Oni su pisani različitim programskim jezicima, novi ransomware ne koristi exploite američke Nacionalne bezbednosne agencije i njegova interna struktura je drugačija. Jedina sličnost dva malvera je GUI koji pokazuje tajmer koji odbrojava vreme koje žrtva ima i prikazuje zahtev za otkup.

U većini slučajeva na .NET bazirani ransomwarei su znak da autor neme mnogo iskustva. Ali to nije slučaj sa ovim ransomwareom, za koga MalwareHunter kaže da je verovatno najbolji .NET ransomware koji je ikada video.

Ransomware inficira sistema preko droppera koji raspakuje i čuva dva fajla lokalno, GUI za prozor koji izgleda kao prozor WannaCry ransomwarea i komponentu koja šifruje podatke.

Ransomware koristi Tor komandno-kontrolni server. Ono po čemu je jedinstven je što prekida sa radom pre šifrovanja fajlova korišćenih u aktivnim programima.

Kada se sklope sve kockice, može se izvesti zaključak da su četiri ransomwarea koji su napala Ukrajinu, pokušala da prođu kao drugi ransomwarei: XData je baziran na ukradenom kodu AES-NI, PSCrypt na GlobeImposteru, a NotPetya se pretvara da je Petya, dok ovaj poslednji da je WannaCry. Sva četiri ransomwarea imaju kvalitetan kod, a tri koriste isti server za širenje. Kao da neko pokušava da maskira ove napade u napade iza kojih stoje "obični" sajber kriminalci, i tako sakrije neke druge motive.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

LastPass upozorava na fišing kampanju koja koristi lažna bezbednosna obaveštenja

LastPass upozorava na fišing kampanju koja koristi lažna bezbednosna obaveštenja

Kompanija LastPass je upozorila korisnike na novu fišing kampanju u kojoj napadači koriste lažna bezbednosna obaveštenja kako bi ih usmerili na zl... Dalje

Apple upozorava: prevaranti sve češće koriste FaceTime za krađu podataka i novca korisnika

Apple upozorava: prevaranti sve češće koriste FaceTime za krađu podataka i novca korisnika

Apple je upozorio korisnike iPhone i iPad uređaja da svaki neočekivani FaceTime poziv, poruku ili zahtev za deljenje ličnih podataka tretiraju kao ... Dalje

Novi Android malver RedHook koristi Wireless ADB za preuzimanje kontrole nad telefonom

Novi Android malver RedHook koristi Wireless ADB za preuzimanje kontrole nad telefonom

Istraživači kompanije Group-IB upozoravaju na novu verziju Android malvera RedHook, koja koristi funkciju Wireless ADB kako bi stekla privilegije zn... Dalje

Microsoft: očekujte više Windows ažuriranja jer veštačka inteligencija pronalazi više propusta

Microsoft: očekujte više Windows ažuriranja jer veštačka inteligencija pronalazi više propusta

Microsoft je upozorio korisnike da u narednom periodu mogu očekivati veći broj bezbednosnih ažuriranja za Windows, jer kompanija sve intenzivnije k... Dalje

Metin novi alat omogućava drugima da koriste vaše javne Instagram fotografije za generisanje AI sadržaja

Metin novi alat omogućava drugima da koriste vaše javne Instagram fotografije za generisanje AI sadržaja

Meta je predstavila novi model veštačke inteligencije za generisanje slika pod nazivom Muse Image, koji može da koristi javne objave i Reels sadrž... Dalje