2 u 1: Ransomware Petya se vratio i sada se isporučuje u paketu sa ransomwareom Mischa

Opisi virusa, 24.05.2016, 00:30 AM

2 u 1: Ransomware Petya se vratio i sada se isporučuje u paketu sa ransomwareom Mischa

Mesec dana pošto je pronađeno rešenje za žrtve ransomwarea Petya, malver se vratio sa novom taktikom. I to ne sam.

Sada Petya dolazi u paketu sa još jednim ransomwareom nazvanim Mischa. I jedan i drugi ransomware dobili su imena po satelitima iz filma Golden Eye.

Kriminalci su dva ransomwarea upakovali u jedan fajl kako bi bili sigurni da žrtvu drže u šaci.

Ransomware Petya koji je otkriven krajem marta je privukao pažnju zbog toga što se njegov način rada razlikuje od onoga što smo viđali kod drugih ransomwarea. Umesto da šifruje fajlove na računaru i objavi obaveštenje o otkupu, Petya restartuje računar, ali pre toga menja MBR (Master Boot Record) hard diska i šifruje ceo hard disk. Računar je praktično “zaglavljen” u stadijumu pre bootovanja.

Ubrzo po otrkiću ovog ransomwarea za žrtve je stigla dobra vest - dvojica istraživača, Leo Stoun i Fabijan Vozar ponudili su žrtvama besplatnu pomoć.

To međutim nije bio kraj priče o ransomwareu Petya. Sada su njegovi autori objavili drugu verziju, koja je upakovana u jedan fajl sa ransomwareom Mischa.

Kriminalci su imali veliki problem sa ransomwareom Petya - malveru su, kada se pokrene, neophodne administrativne privilegije.

Ako korisnik koji klikne dva puta na fajl inficiran ransomwareom Petya ne odobri pokretanje u UAC (User Account Control) prozoru, ransomware se neće pokrenuti. Kriminalci su ovaj problem rešili tako što su u fajlove koji isporučuju Petya ransomware, uključili backup ransomware Mischa. Mischa se pokreće samo kada Petya ne može da se pokrene. Mischa funkcioniše kao i svi ransomwarei šifrujući fajlove pomoću moćnog algoritma.

Petya i Mischa su deo nove “Ransomware-as-a-Service” platforme. Potencijalnim klijentima se nudi pristup beta verziji.

Kao što je bio slučaj sa prethodnom verzijom ransomwarea, i ova se širi preko cloud skladišta, sakriven u nečemu što izgleda kao prijava za posao u pdf fajlu, koji je ustvari exe fajl. Otvaranje fajlova koje korisnik preuzme dovodi do infekcije računara ransomwareima Petya i Mischa.

Kriminalci će moći da iznajmljuju ovaj paket ransomwarea a njihov jedini zadatak je da šire malvere, s tim što će morati da dele novac koji uzmu od žrtava sa onima od kojih ih iznajmljuju.

Trenutno je samo nekolicini kriminalaca omogućen pristup platformi koja se hostuje na Dark Webu i čiji je naziv Janus Cybercrime.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Otkriven novi ransomware koji isključivo inficira macOS

Otkriven novi ransomware koji isključivo inficira macOS

Novi ransomware nazvan OSX.EvilQuest, otkriven ove nedelje, inficira isključivo macOS uređaje. Ono po čemu se razlikuje od drugih ransomwarea za ma... Dalje

Ransomware Sodinokibi (REvil) ima novu taktiku za izvlačenje novca od žrtava

Ransomware Sodinokibi (REvil) ima novu taktiku za izvlačenje novca od žrtava

Grupa koja stoji iza jednog od najuspešnijih ransomwarea sada skenira mreže kompanija kako bi pronašla podatke o platnim karticama, plaćanjima i s... Dalje

Sajber-kriminalci manipulišu Google pretragom da bi širili novi malver za Mac

Sajber-kriminalci manipulišu Google pretragom da bi širili novi malver za Mac

Većina korisnika prilikom pretraživanja interneta je svesna da postoje zlonamerni sajtovi na kojima treba biti oprezan. Ali, za pretraživače Goog... Dalje

Sajber-kriminalci nude lažni dekripter koji još jednom šifruje već šifrovane fajlove žrtava ransomwarea

Sajber-kriminalci nude lažni dekripter koji još jednom šifruje već šifrovane fajlove žrtava ransomwarea

Lažni dekripter za STOP Djvu Ransomware nudi se očajnim ljudima uz obećanje da će im besplatno dešifrovati fajlove. Umesto da svoje fajlove vrat... Dalje

FBI upozorio na novi ransomware ProLock koji inficira računare koji su već inficirani bankarskim trojancem

FBI upozorio na novi ransomware ProLock koji inficira računare koji su već inficirani bankarskim trojancem

FBI je izdao upozorenje o novom ransomwareu koji je nazvan ProLock, koji je primećen u napadima na zdravstvene organizacije, državne organe, finansi... Dalje