CryptoDefence, malver ''sa greškom'', zarađuje 34000 dolara mesečno od ucenjivanja korisnika

Opisi virusa, 02.04.2014, 11:17 AM

CryptoDefence, malver ''sa greškom'', zarađuje 34000 dolara mesečno od ucenjivanja korisnika

Ransomware CryptoDefence se pojavio krajem februara ove godine i od tada su Symantecovi proizvodi blokirali više od 11000 pokušaja infekcije ovim malverom.

CryptoDefence, čiji su autori bili inspirisani uspehom ransomwarea CryptoLocker koji je tokom poslednja tri meseca prošle godine zarazio više od 250000 računara, prema procenama stručnjaka Symanteca za samo mesec dana zaradi više od 34000 dolara.

Infekcije ovim malverom otkrivene su u više od 100 zemalja širom sveta, a najveći broj infekcija je zabeležen u SAD, Velikoj Britaniji, Kanadi, Australiji, Japanu, Indiji, Italiji i Holandiji.

CryptoDefence je sofisticirani malver koji koristi brojne tehnike koje su se pokazale delotvornim pošto su ih već primenjivali autori drugih, starijih malvera ove vrste.

Kao i svi ransomwarei, i CryptoDefence šifruje većinu fajlova na zaraženim računarima, zahtevajući od korisnika da plati otkup kako bi ponovo mogao da koristi svoje fajlove. Malver koristi Tor da bi obezbedio anonimnost onima koji ga kontrolišu, a iz istog razloga otkup za "zarobljene" fajlove se plaća Bitcoinima.

Da bi bili sigurni da šifrovani fajlovi ne mogu biti dešifrovani bez plaćanja otkupa, kriminalci koriste jaku RSA 2048 enkripciju.

Žrtva je izložena pritisku i pretnjama da će cena otkupa da raste ukoliko se ne plati u naznačenom vremenskom roku.

CryptoDefence se širi putem spam emailova sa skeniranim dokumentom.

Kada se pokrene, CryptoDefence se povezuje sa četiri domena kojima šalje osnovne informacije o zaraženom računaru. Fajlovi na računaru se šifruju a privatni ključ se šalje serveru, kao i snimak radne površine kompromitovanog računara.

Kada se završi šifrovanje fajlova, CryptoDefence dodaje zahtev za otkup sa instrukcijama kako dešifrovati fajlove svakom folderu u kome se nalaze šifrovani fajlovi.

Autori malvera traže od korisnika da plati 500 dolara u digitalnoj valuti, Bitcoinu, upozoravajući ga da će ukoliko ne plati do naznačenog roka, taj iznos biti udvostručen pa će onda morati da plati 1000 dolara. Rok za plaćanje koji je ostavljen korisniku je četiri dana.

Na sreću korisnika računara zaraženih ovim malverom, autori malvera su napravili grešku jer su prevideli važan detalj tako da ključ za dešifrovanje fajlova ostaje na zaraženom računaru i pošto se pošalje serveru napadača.

CryptoDefence koristi jaku RSA 2048 enkripciju. To znači da kada se fajlovi šifruju, bez pristupa privatnom ključu žrtva neće biti u mogućnosti da dešifruje fajlove, objašnjavaju u Symantecu. U slučaju već pomenutog CryptoLockera, privatni ključ je mogao da se nađe samo na serverima koje su kontrolisali napadači. U slučaju CryptoDefence malvera, fajlovi se šifruju sa RSA-2048 ključem koji se generiše na računaru korisnika, uz pomoć Microsoftove kriptografske infrastrukture i Windows API. Ključ se potom šalje serveru napadača. Međutim, orišćenjem ove metode napadači dobijaju ključ za dešifrovanje, ali on takođe ostaje i na zaraženom računaru na sledećoj lokaciji: %UserProfile%\Application Data\Microsoft\Crypto\RSA.

“Zbog loše implementacije kriptografske funkionalnosti, napadači su bukvalno ostavili ključ za bekstvo svojim taocima”, zaključuju u Symantecu.

Više detalja o ransomwareu CryptoDefence možete naći na blogu kompanije Symantec.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi malver CopperStealer krade Google, Facebook i Apple naloge

Novi malver CopperStealer krade Google, Facebook i Apple naloge

Istraživači kompanije Proofpoint otkrili su malver koji se distribuira preko sajtova na kojima se nudi nelegalni piratski softver, a koji cilja kori... Dalje

30000 Mac računara inficirano novim malverom Silver Sparrow

30000 Mac računara inficirano novim malverom Silver Sparrow

Novi malver Silver Sparrow inficirao je 30000 Mac računara. Malver su otkrili istraživači iz firme Red Canary koji su ga analizirali zajedno sa ist... Dalje

Otkriven prvi malver koji napada isključivo Appleov novi M1 čip

Otkriven prvi malver koji napada isključivo Appleov novi M1 čip

Bivši istraživač NSA Patrik Vordl otkrio je malver koji je dizajniran za napade na računare sa Appleovim novim M1 čipom, koji se koristi na najno... Dalje

Oprez: Video snimak Trampovog ''seks skandala'' krije QRAT trojanca

Oprez: Video snimak Trampovog ''seks skandala'' krije QRAT trojanca

Istraživači kompanije Trustwave otkrili su novu spam kampanju koja distribuira trojanski program za daljinski pristup (RAT), a kao mamac koristi vid... Dalje

Opasni malver Emotet se vratio i sada dnevno stigne u sandučiće za e-poštu 100000 korisnika

Opasni malver Emotet se vratio i sada dnevno stigne u sandučiće za e-poštu 100000 korisnika

Posle zatišja od skoro dva meseca, botnet Emotet se vratio izmenjen i sa kampanjom koja dnevno pogađa 100 000 ciljeva. Emotet se pojavio 2014. godin... Dalje