Kako jedan ransomware i jedan Trojanac zajedno pljačkaju bitcoin novčanike

Opisi virusa, 28.03.2014, 09:52 AM

Kako jedan ransomware i jedan Trojanac zajedno pljačkaju bitcoin novčanike

CryptoLocker i drugi slični maliciozni programi koji se nazivaju zajedničkim imenom ransomware su već izvesno vreme veliki problem. Oni su poznati po tome što iznuđuju novac od žrtava čije su računare blokirali ili šifrovali njihove fajlove na zaraženim računarima.

Ovim malverima pridružio se još jedan novi ransomware nazvan BitCrypt koji se razlikuje od svojih srodnika po tome što usput može i da prazni Bitcoin novčanike.

Za sada su identifikovane dve verzije ove pretnje. Jedna verzija, nazvana TROJ_CRIBIT.A, dodaje “.bitcrypt” svim šiforvanim fajlovima i prikazuje obaveštenje o otkupu fajlova samo na engleskom jeziku. Druga verzija malvera, TROJ_CRIBIT.B, dodaje “.bitcrypt2” i koristi čak 10 jezika na kojima se obraća žrtvama: engleski, francuski, nemački, ruski, italijanski, španski, portugalski, japanski, kineski i arapski.

BitCrypt se pojavio u februaru a njegov razvoj je najverovatnije inspirisan uspehom sličnih programa, posebno ransomwarea Cryptolocker koji je zarazio više od 250000 računara tokom poslednja tri meseca prošle godine.

Kao i CryptoLocker, i BitCrypt posle instalacije šifruje širok spektar različitih fajlova, uključujući i dokumente i slike. Žrtvama ne samo da je onemogućen pristup ličnim fajlovima, već ne mogu da pristupe ni projektima na kojima rade, a problem je nerešiv ako korisnik zaraženog računara nema eksterno napravljene rezervne kopije.

Prva verzija BitCrypt ransomwarea je tvrdila da koristi jaku RSA-1024 enkripciju, ali su stručnjaci firme AIRBUS Defence & Space otkrili propuste u implementaciji koji omogućavaju da se napravi program za dešifrovanje fajlova koje je “zarobio” malver.

Međutim, druga verzija malvera koju su otkrili stručnjaci kompanije Trend Micro a koja se pojavila ovog meseca, je unapređena i najverovatnije su njeni autori planirali široku distribuciju, s obzirom da se malver obraća žrtvama na deset jezika.

Kada zarazi računar nova verzija BitCrypt ransomwarea zamenjuje sliku pozadine na radnoj površini slikom na kojoj piše “Your computer was infected by BitCrypt v2.0 cryptovirus” i upućuje žrtvu na fajl Bitcrypt.txt za dodatne instrukcije.

U fajlu se nalazi uputstvo kako pristupiti web sajtu skrivenom na Tor anonimnoj mreži da bi se dobio poseban program za dešifrovanje koji je jedinstven za svaku infekciju. Sajtu bi se inače se moglo pristupiti samo ako korisnik koristi Tor, ali su autori malvera mislili na sve detalje pa su obezbedili link za Tor2Web, servis koji omogućava posetu sajtovima Deep Weba čak i ako korisnici ne koriste Tor. Od korisnika se traži da unesu svoj jedinstveni ID infekcije i da plate 0,4 bitocina (oko 230 dolara) da bi dobili ovaj program.

Ono što je posebno zanimljivo, a što smo spomenuli na početku, je da se nova verzija BitCrypt malvera distribuira pomoću Trojanca nazvanog FAREIT koji je, između ostalog, poznat i kao kradljivac Bitcoina.

FAREIT pretražuje i pokušava da izvuče infromacije iz sledećih fajlova: wallet.dat (Bitcoin), electrum.dat (Electrum) i .wallet (MultiBit). Ove fajlove kreiraju i koriste različite Bitcoin klijent aplikacije.

Da biste izbegli ovakve probleme i plaćanje za pristup vlastitim fajlovima, neophodno je da redovno pravite kopije podataka. Najbolje je da to ne radite na istom računaru ili na deljenom mrežnom uređaju jer bi malver u tom slučaju mogao da se domogne i rezervnih kopija fajlova.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Malver FakeBat se širi preko Google oglasa, lažnih ažuriranja pretraživača i društvenih mreža

Malver FakeBat se širi preko Google oglasa, lažnih ažuriranja pretraživača i društvenih mreža

Malver FakeBat, takođe poznat i pod imenima EugenLoader i PaykLoader, je trenutno jedan od najrasprostranjenijih malvera iz grupe tzv. „loadera... Dalje

Malver StrelaStealer krade lozinke iz Mozilla Thunderbirda i Outlooka

Malver StrelaStealer krade lozinke iz Mozilla Thunderbirda i Outlooka

Tim za istraživanje pretnji SonicWall Capture Labsa upozorava na napade u kojima se koristi malver StrelaStealer koji krade lozinke. Zanimljivo je da... Dalje

Novi malver ''Poseidon'' inficira Mac računare preko lažnih Google oglasa

Novi malver ''Poseidon'' inficira Mac računare preko lažnih Google oglasa

Istraživači iz Malwarebytes Laba upozorili su na novu kampanju koju je njen kreator nazvao „Posejdon“, čije su mete korisnici Mac raču... Dalje

Hakovani sajtovi inficiraju posetioce novim Windows backdoorom BadSpace

Hakovani sajtovi inficiraju posetioce novim Windows backdoorom BadSpace

Hakovani veb sajtovi se koriste za isporuku Windows backdoora pod nazivom BadSpace pod maskom lažnih ažuriranja pretraživača. Napadači koriste &b... Dalje

Malver Noodle RAT napada Windows i Linux sisteme

Malver Noodle RAT napada Windows i Linux sisteme

Gotovo deceniju, različite kineske hakerske grupe koristile su malver koji je pogrešno klasifikovan kao varijanta drugog malvera, priznali su struč... Dalje