2 u 1: Ransomware Petya se vratio i sada se isporučuje u paketu sa ransomwareom Mischa

Opisi virusa, 24.05.2016, 00:30 AM

2 u 1: Ransomware Petya se vratio i sada se isporučuje u paketu sa ransomwareom Mischa

Mesec dana pošto je pronađeno rešenje za žrtve ransomwarea Petya, malver se vratio sa novom taktikom. I to ne sam.

Sada Petya dolazi u paketu sa još jednim ransomwareom nazvanim Mischa. I jedan i drugi ransomware dobili su imena po satelitima iz filma Golden Eye.

Kriminalci su dva ransomwarea upakovali u jedan fajl kako bi bili sigurni da žrtvu drže u šaci.

Ransomware Petya koji je otkriven krajem marta je privukao pažnju zbog toga što se njegov način rada razlikuje od onoga što smo viđali kod drugih ransomwarea. Umesto da šifruje fajlove na računaru i objavi obaveštenje o otkupu, Petya restartuje računar, ali pre toga menja MBR (Master Boot Record) hard diska i šifruje ceo hard disk. Računar je praktično “zaglavljen” u stadijumu pre bootovanja.

Ubrzo po otrkiću ovog ransomwarea za žrtve je stigla dobra vest - dvojica istraživača, Leo Stoun i Fabijan Vozar ponudili su žrtvama besplatnu pomoć.

To međutim nije bio kraj priče o ransomwareu Petya. Sada su njegovi autori objavili drugu verziju, koja je upakovana u jedan fajl sa ransomwareom Mischa.

Kriminalci su imali veliki problem sa ransomwareom Petya - malveru su, kada se pokrene, neophodne administrativne privilegije.

Ako korisnik koji klikne dva puta na fajl inficiran ransomwareom Petya ne odobri pokretanje u UAC (User Account Control) prozoru, ransomware se neće pokrenuti. Kriminalci su ovaj problem rešili tako što su u fajlove koji isporučuju Petya ransomware, uključili backup ransomware Mischa. Mischa se pokreće samo kada Petya ne može da se pokrene. Mischa funkcioniše kao i svi ransomwarei šifrujući fajlove pomoću moćnog algoritma.

Petya i Mischa su deo nove “Ransomware-as-a-Service” platforme. Potencijalnim klijentima se nudi pristup beta verziji.

Kao što je bio slučaj sa prethodnom verzijom ransomwarea, i ova se širi preko cloud skladišta, sakriven u nečemu što izgleda kao prijava za posao u pdf fajlu, koji je ustvari exe fajl. Otvaranje fajlova koje korisnik preuzme dovodi do infekcije računara ransomwareima Petya i Mischa.

Kriminalci će moći da iznajmljuju ovaj paket ransomwarea a njihov jedini zadatak je da šire malvere, s tim što će morati da dele novac koji uzmu od žrtava sa onima od kojih ih iznajmljuju.

Trenutno je samo nekolicini kriminalaca omogućen pristup platformi koja se hostuje na Dark Webu i čiji je naziv Janus Cybercrime.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

FBI upozorio na novi ransomware ProLock koji inficira računare koji su već inficirani bankarskim trojancem

FBI upozorio na novi ransomware ProLock koji inficira računare koji su već inficirani bankarskim trojancem

FBI je izdao upozorenje o novom ransomwareu koji je nazvan ProLock, koji je primećen u napadima na zdravstvene organizacije, državne organe, finansi... Dalje

Novi malver nazvan ''Korona virus'' zaključava Windows

Novi malver nazvan ''Korona virus'' zaključava Windows

Budući da su škole zatvorene zbog pandemije, neka deca se zabavljaju pravljenjem malvera. Takav je slučaj sa različitim novim verzijama MBRLocker... Dalje

Malver TrickBot zaobilazi dvofaktornu zaštitu banaka novom Android aplikacijom TrickMo

Malver TrickBot zaobilazi dvofaktornu zaštitu banaka novom Android aplikacijom TrickMo

Sajber-kriminalci koji stoje iza malvera TrickBot koriste Aandroid aplikaciju koju su napravili da bi zaobišli dvofaktornu (2FA) zaštitu koju korist... Dalje

Novi ransomware se zove CoronaVirus, ali on nije najgore što se može desiti vašem računaru

Novi ransomware se zove CoronaVirus, ali on nije najgore što se može desiti vašem računaru

Nova ransomware nazvan CoronaVirus širi se preko lažnog web sajta koji reklamira softver za optimizaciju sistema i druge programe WiseCleanera. Sajb... Dalje

Android malver Cerberus sada može da krade kodove za 2FA iz Google Authenticatora i daljinski otključava uređaj

Android malver Cerberus sada može da krade kodove za 2FA iz Google Authenticatora i daljinski otključava uređaj

Bankarski trojanac Cerberus je nadograđen i sada može da krade kodove Google Authenticatora za dvofaktornu autentifikaciju (2FA) koja se koristi kao... Dalje