Pratite nas preko RSS-aNapadi ransomwarea u Ukrajini nastavljeni
Vesti, 04.07.2017, 01:30 AM
Ukrajinu je pogodio četvrti talas napada ransomwarea, koji sledi sličan obrazac kao i prethodne tri kampanje širenja ransomwarea kao što su XData, PScrypt i NotPetya, koje su u skorije vremene zadesile Ukrajinu.
Ransomware je krajem prošle nedelje otkrio istraživač MalwareHunter koji kaže da su mu pažnju privukli korisnici iz Ukrajine koji su postavljali uzorke malvera na VirusTotalu.
U prethodnih mesec i po dana, Ukrajina je bombardovana ransomwareima. Prvi ransomware XData se pojavio u Ukrajini sredinom maja, drugi PSCrypt pretprošle nedelje, a za njim je usledio sada već čuveni NotPetya.
Četvrti ransomware počeo je da se širi prošlog ponedeljka, dan pre NotPetya ransomwarea. Ransomware izgleda kao WannaCry ransomware koji je sredinom maja inficirao stotine hiljada računara.
MalwareHunter kaže da je ransomware dizajniran tako da izgleda kao WannaCry, ali on nije njegova kopija. Oni su pisani različitim programskim jezicima, novi ransomware ne koristi exploite američke Nacionalne bezbednosne agencije i njegova interna struktura je drugačija. Jedina sličnost dva malvera je GUI koji pokazuje tajmer koji odbrojava vreme koje žrtva ima i prikazuje zahtev za otkup.
U većini slučajeva na .NET bazirani ransomwarei su znak da autor neme mnogo iskustva. Ali to nije slučaj sa ovim ransomwareom, za koga MalwareHunter kaže da je verovatno najbolji .NET ransomware koji je ikada video.
Ransomware inficira sistema preko droppera koji raspakuje i čuva dva fajla lokalno, GUI za prozor koji izgleda kao prozor WannaCry ransomwarea i komponentu koja šifruje podatke.
Ransomware koristi Tor komandno-kontrolni server. Ono po čemu je jedinstven je što prekida sa radom pre šifrovanja fajlova korišćenih u aktivnim programima.
Kada se sklope sve kockice, može se izvesti zaključak da su četiri ransomwarea koji su napala Ukrajinu, pokušala da prođu kao drugi ransomwarei: XData je baziran na ukradenom kodu AES-NI, PSCrypt na GlobeImposteru, a NotPetya se pretvara da je Petya, dok ovaj poslednji da je WannaCry. Sva četiri ransomwarea imaju kvalitetan kod, a tri koriste isti server za širenje. Kao da neko pokušava da maskira ove napade u napade iza kojih stoje "obični" sajber kriminalci, i tako sakrije neke druge motive.
Izdvojeno
Tužba protiv Mete: da li su WhatsApp poruke zaista nedostupne kompaniji?
Više tužilaca iz različitih delova sveta podnelo je tužbu protiv kompanije Meta pred saveznim sudom u Sjedinjenim Državama, tvrdeći da kompanija... Dalje
Lažni Google oglasi za „Mac cleaner“ šire malver
Istraživači iz kompanije MacKeeper upozorili su na Google oglase koji promovišu lažne „Mac cleaner“ alate i navode korisnike da sami p... Dalje
WhatsApp uvodi Strict Account Settings za jaču zaštitu naloga
Meta je na WhatsApp-u uvela novu bezbednosnu opciju pod nazivom Strict Account Settings, namenjenu dodatnoj zaštiti korisnika od sajber napada. Prema... Dalje
Google upozorava: hakeri i dalje koriste zakrpljenu ranjivost u WinRAR-u za širenje malvera
Google Threat Intelligence Group (GTIG) je upozorio da državni hakeri i kriminalne grupe zloupotrebljavaju grešku u popularnom WinRAR-u, poznatu kao... Dalje
Otkriveno 16 lažnih ChatGPT ekstenzija za Chrome i Edge
Istraživači iz kompanije LayerX Security otkrili su kampanju u kojoj se najmanje 16 zlonamernih ekstenzija za Chrome i Edge lažno predstavljaju kao... Dalje
Pratite nas
Nagrade
Prijatelji
