Pratite nas preko RSS-aNapadi ransomwarea u Ukrajini nastavljeni
Vesti, 04.07.2017, 01:30 AM
Ukrajinu je pogodio četvrti talas napada ransomwarea, koji sledi sličan obrazac kao i prethodne tri kampanje širenja ransomwarea kao što su XData, PScrypt i NotPetya, koje su u skorije vremene zadesile Ukrajinu.
Ransomware je krajem prošle nedelje otkrio istraživač MalwareHunter koji kaže da su mu pažnju privukli korisnici iz Ukrajine koji su postavljali uzorke malvera na VirusTotalu.
U prethodnih mesec i po dana, Ukrajina je bombardovana ransomwareima. Prvi ransomware XData se pojavio u Ukrajini sredinom maja, drugi PSCrypt pretprošle nedelje, a za njim je usledio sada već čuveni NotPetya.
Četvrti ransomware počeo je da se širi prošlog ponedeljka, dan pre NotPetya ransomwarea. Ransomware izgleda kao WannaCry ransomware koji je sredinom maja inficirao stotine hiljada računara.
MalwareHunter kaže da je ransomware dizajniran tako da izgleda kao WannaCry, ali on nije njegova kopija. Oni su pisani različitim programskim jezicima, novi ransomware ne koristi exploite američke Nacionalne bezbednosne agencije i njegova interna struktura je drugačija. Jedina sličnost dva malvera je GUI koji pokazuje tajmer koji odbrojava vreme koje žrtva ima i prikazuje zahtev za otkup.
U većini slučajeva na .NET bazirani ransomwarei su znak da autor neme mnogo iskustva. Ali to nije slučaj sa ovim ransomwareom, za koga MalwareHunter kaže da je verovatno najbolji .NET ransomware koji je ikada video.
Ransomware inficira sistema preko droppera koji raspakuje i čuva dva fajla lokalno, GUI za prozor koji izgleda kao prozor WannaCry ransomwarea i komponentu koja šifruje podatke.
Ransomware koristi Tor komandno-kontrolni server. Ono po čemu je jedinstven je što prekida sa radom pre šifrovanja fajlova korišćenih u aktivnim programima.
Kada se sklope sve kockice, može se izvesti zaključak da su četiri ransomwarea koji su napala Ukrajinu, pokušala da prođu kao drugi ransomwarei: XData je baziran na ukradenom kodu AES-NI, PSCrypt na GlobeImposteru, a NotPetya se pretvara da je Petya, dok ovaj poslednji da je WannaCry. Sva četiri ransomwarea imaju kvalitetan kod, a tri koriste isti server za širenje. Kao da neko pokušava da maskira ove napade u napade iza kojih stoje "obični" sajber kriminalci, i tako sakrije neke druge motive.
Izdvojeno
WhatsApp za mlađe od 13: novi nalozi pod nadzorom roditelja
WhatsApp je predstavio novu funkciju dizajniranu posebno za decu mlađu od 13 godina, uvodeći naloge kojima upravljaju roditelji sa ciljem bezbednije... Dalje
ChatGPT kao terapeut: korisnici dele lične priče uprkos rizicima po privatnost
Ljudi sve češće koriste ChatGPT i generativnu veštačku inteligenciju za duboko lične teme — od emotivnog rasterećenja do traženja saveta... Dalje
Ugašena C2 infrastruktura botneta koji su zarazili preko tri miliona uređaja
Zajednička akcija vlasti iz SAD, Nemačke i Kanade rezultirala je gašenjem komandno-kontrolne (C2) infrastrukture koju su koristili botneti Aisuru, ... Dalje
Vidar 2.0: Majstor digitalne krađe širi se među gejmerima sa GitHuba i Reddita
Istraživači iz Acronis TRU upozoravaju na novu kampanju koja cilja pre svega mlađe gejmere, koristeći lažne varalice za popularne igre poput Fort... Dalje
INTERPOL upozorava: veštačka inteligencija podstiče finansijske prevare širom sveta
Novi izveštaj INTERPOL-a ukazuje na ubrzanu evoluciju globalnih finansijskih prevara, koje postaju sve sofisticiranije zahvaljujući veštačkoj inte... Dalje
Pratite nas
Nagrade
Prijatelji
