Trojanac Nemucod širi kripto-ransomware TeslaCrypt po celom svetu
Vesti, 21.12.2015, 01:30 AM
![Trojanac Nemucod širi kripto-ransomware TeslaCrypt po celom svetu](/thumbs/v1_6643_unzip_ransom.png)
Istraživači kompanije ESET, ali i nekoliko drugih kompanija koje se bave sajber bezbednošću, potvrdili su zaključke istrage koju su sproveli istraživači iz firme Heimdal Security koji su otkrili spam kampanju koja je odgovorna za značajan porast broja infekcija kripto-ransomwareom TeslaCrypt.
Istraživači ESET-a primetili su veliki porast detekcija trojanca Nemucod, koji je poznat po tome što sa računara koje je inficirao pokušava da preuzme druge malvere sa interneta.
Stope detekcije bile su veoma visoke u nekim zemljama, ali i globalno, što bi moglo da ukazuje na to da kampanja nije usmerena samo na jednu zemlju, već da kriminalci pokušavaju da zaraze što veći broj računara u celom svetu.
Kao vektor napada kriminalci koriste email predstavljen kao račun, koji je naravno lažan. Ideja je da se potencijalna žrtva ubedi da otvori ZIP fajl u emailu u kome se krije trojanac Nemucod. Pošiljalac emaila je obično korisnik čiji je računar već inficiran tako da se malver širi sve dok mu uspeva da nađe nove žrtve.
ZIP fajl ne sadrži EXE fajl kao što je to bio slučaj u nekim prethodnim kampanjama, već JavaScript fajl. Moguće je da napadači koriste ovu tehniku da bi izbegli detekciju nekih skenera emailova i došli do što većeg broja žrtava.
Nemucod koristi JavaScript da bi preuzeo EXE fajl sa interneta, sa malicioznog sajta koji su napravili kriminalci ili sa jednog nemačkog kompromitovanog sajta. EXE fajl se pokreće automatski i time je TeslaCrypt instaliran na računaru.
TeslaCrypt šifruje određene vrste fajlova, kao što su slike, video snimci, dokumenti i drugi, a kada završi sa šifrovanjem, ransomware prikazuje obaveštenje u browseru u kome se žrtvi objašnjava da mora da plati ako želi da vrati svoje fajlove.
U svakom folderu koji sadrži šifrovane fajlove nalazi se TXT fajl koji sadrži slične instrukcije za korisnika računara koje sadrži i HTML fajl. Međutim, ima i nekih kontradiktornosti. Primera radi, u HTML fajlu se kaže da ransomware koristi RSA-2048 enkripciju, dok u TXT fajlu da malver koristi RSA-4096 enkripciju.
Razlog za to bi mogla biti činjenica da su autori TeslaCrypta koristili šablone drugih ransomwarea. Međutim, bez obzira na to šta je istina, fajlovi ne mogu biti vraćeni u početno stanje.
Tokom prošle nedelje proizvodi ESET-a detektovali su i zaustavljali brojne pokušaje infekcija širom sveta, od kojih je većina bila u Japanu. U ovoj zemlji je tokom dva dana prošle nedelje, 75% svih detekcija malvera bilo povezano sa kampanjom distribucije trojanca Nemucod i ransomwarea TeslaCrypt.
Veliki broj detekcija zabeležen je i u Italiji, Španiji, SAD, Kanadi i Argentini.
Ipak, utešno je da ova kampanja nije pogodila toliko mnogo korisnika kao neke ranije iako su stope detekcije bile povišene. Prema rečima istraživača ESET-a to znači da korisnici koriste zaštitu koja je u stanju da otkrije nove pretnje, kao i da ne pokreću sumnjive fajlove iz spam emailova.
Ipak, da bi ste izbegli probleme koje može izazvati infekcija ransomwareom, preporuka stručnjaka je da redovno ažurirate backup važnih fajlova kako biste u slučaju infekcije lako mogli da rešite problem i vratite svoje fajlove u najkraćem roku.
![Acronis](/s2.png)
Izdvojeno
Google Chrome ima nova, jasnija upozorenja za opasne fajlove koje preuzimate sa interneta
![Google Chrome ima nova, jasnija upozorenja za opasne fajlove koje preuzimate sa interneta](/thumbs/v2_4974_SuspiciousAndDangerous_inline_V2.png)
Google Chrome će vas od sada upozoravati kada preuzimate rizične fajlove zaštićene lozinkom i prikazivati vam upozorenja sa više informacija o p... Dalje
Na Telegramu objavljena cela baza podataka hakerskog sajta BreachForums v1
![Na Telegramu objavljena cela baza podataka hakerskog sajta BreachForums v1](/thumbs/v1_1291_glen-carrie-aUggJb4-P8c-unsplash.jpg)
Cela baza podataka zloglasnog hakerskog foruma, BreachForums v1, objavljena je na Telegramu u utorak uveče. Ona sadrži obilje podataka, uključujuc�... Dalje
Posle mnogo odugovlačenja, Google odustao od planova o ukidanju kolačića trećih strana u Chrome pretraživaču
![Posle mnogo odugovlačenja, Google odustao od planova o ukidanju kolačića trećih strana u Chrome pretraživaču](/thumbs/v2_4921_growtika-dUMEnARXgJU-unsplash.jpg)
Google je odustao od planova o postepenom ukidanju kolačića za praćenje trećih strana u svom Chrome veb pretraživaču skoro tri meseca nakon n... Dalje
Budite oprezni: U oglasima na Facebooku za GTA VI Beta verziju krije se malver
![Budite oprezni: U oglasima na Facebooku za GTA VI Beta verziju krije se malver](/thumbs/v1_4147_screenshot-www.rockstargames.com-2024.07.png)
Fanovi GTA upozoreni su na lažne oglase za preuzimanje GTA VI Beta koji su se pojavili na društvenim mrežama. Rockstar Games, koji stoji iza GTA, n... Dalje
Sajber kriminalci iskoristili haos koji je u petak izazvao CrowdStrike za širenje malvera Remcos RAT
![Sajber kriminalci iskoristili haos koji je u petak izazvao CrowdStrike za širenje malvera Remcos RAT](/thumbs/v1_9271_pexels-anntarazevich-5697254 (1).jpg)
Petak, 19. juli, ostaće upamćen po tehničkim problemima širom sveta, najvećim u novijoj istoriji, koji su bili posledica neuspelog ažuriranja so... Dalje
Pratite nas
Nagrade