Kako jedan ransomware i jedan Trojanac zajedno pljačkaju bitcoin novčanike

Opisi virusa, 28.03.2014, 09:52 AM

Kako jedan ransomware i jedan Trojanac zajedno pljačkaju bitcoin novčanike

CryptoLocker i drugi slični maliciozni programi koji se nazivaju zajedničkim imenom ransomware su već izvesno vreme veliki problem. Oni su poznati po tome što iznuđuju novac od žrtava čije su računare blokirali ili šifrovali njihove fajlove na zaraženim računarima.

Ovim malverima pridružio se još jedan novi ransomware nazvan BitCrypt koji se razlikuje od svojih srodnika po tome što usput može i da prazni Bitcoin novčanike.

Za sada su identifikovane dve verzije ove pretnje. Jedna verzija, nazvana TROJ_CRIBIT.A, dodaje “.bitcrypt” svim šiforvanim fajlovima i prikazuje obaveštenje o otkupu fajlova samo na engleskom jeziku. Druga verzija malvera, TROJ_CRIBIT.B, dodaje “.bitcrypt2” i koristi čak 10 jezika na kojima se obraća žrtvama: engleski, francuski, nemački, ruski, italijanski, španski, portugalski, japanski, kineski i arapski.

BitCrypt se pojavio u februaru a njegov razvoj je najverovatnije inspirisan uspehom sličnih programa, posebno ransomwarea Cryptolocker koji je zarazio više od 250000 računara tokom poslednja tri meseca prošle godine.

Kao i CryptoLocker, i BitCrypt posle instalacije šifruje širok spektar različitih fajlova, uključujući i dokumente i slike. Žrtvama ne samo da je onemogućen pristup ličnim fajlovima, već ne mogu da pristupe ni projektima na kojima rade, a problem je nerešiv ako korisnik zaraženog računara nema eksterno napravljene rezervne kopije.

Prva verzija BitCrypt ransomwarea je tvrdila da koristi jaku RSA-1024 enkripciju, ali su stručnjaci firme AIRBUS Defence & Space otkrili propuste u implementaciji koji omogućavaju da se napravi program za dešifrovanje fajlova koje je “zarobio” malver.

Međutim, druga verzija malvera koju su otkrili stručnjaci kompanije Trend Micro a koja se pojavila ovog meseca, je unapređena i najverovatnije su njeni autori planirali široku distribuciju, s obzirom da se malver obraća žrtvama na deset jezika.

Kada zarazi računar nova verzija BitCrypt ransomwarea zamenjuje sliku pozadine na radnoj površini slikom na kojoj piše “Your computer was infected by BitCrypt v2.0 cryptovirus” i upućuje žrtvu na fajl Bitcrypt.txt za dodatne instrukcije.

U fajlu se nalazi uputstvo kako pristupiti web sajtu skrivenom na Tor anonimnoj mreži da bi se dobio poseban program za dešifrovanje koji je jedinstven za svaku infekciju. Sajtu bi se inače se moglo pristupiti samo ako korisnik koristi Tor, ali su autori malvera mislili na sve detalje pa su obezbedili link za Tor2Web, servis koji omogućava posetu sajtovima Deep Weba čak i ako korisnici ne koriste Tor. Od korisnika se traži da unesu svoj jedinstveni ID infekcije i da plate 0,4 bitocina (oko 230 dolara) da bi dobili ovaj program.

Ono što je posebno zanimljivo, a što smo spomenuli na početku, je da se nova verzija BitCrypt malvera distribuira pomoću Trojanca nazvanog FAREIT koji je, između ostalog, poznat i kao kradljivac Bitcoina.

FAREIT pretražuje i pokušava da izvuče infromacije iz sledećih fajlova: wallet.dat (Bitcoin), electrum.dat (Electrum) i .wallet (MultiBit). Ove fajlove kreiraju i koriste različite Bitcoin klijent aplikacije.

Da biste izbegli ovakve probleme i plaćanje za pristup vlastitim fajlovima, neophodno je da redovno pravite kopije podataka. Najbolje je da to ne radite na istom računaru ili na deljenom mrežnom uređaju jer bi malver u tom slučaju mogao da se domogne i rezervnih kopija fajlova.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi malver za macOS krije se u piratskom softveru

Novi malver za macOS krije se u piratskom softveru

Stručnjaci iz kompanije Kaspersky upozoravaju da sajber kriminalci napadaju korisnike macOS-a novim proksi trojanskim malverom koji je sakriven u pop... Dalje

Malver Atomic Stealer inficira macOS putem lažnog ažuriranja za pretraživače

Malver Atomic Stealer inficira macOS putem lažnog ažuriranja za pretraživače

Atomic Stealer, takođe poznat i kao AMOS, je malver za Mac OS koji se trenutno širi preko lažnog ažuriranja pretraživača pod nazivom „Clea... Dalje

Kako malver Ducktail krade Facebook naloge

Kako malver Ducktail krade Facebook naloge

Istraživači kompanije Kaspersky otkrili su novu verziju malvera Ducktail koju sajber kriminalci koriste za napade na zaposlene u kompanijama koji su... Dalje

Sajber kriminalci imaju novu taktiku kojom sprečavaju otkrivanje malvera

Sajber kriminalci imaju novu taktiku kojom sprečavaju otkrivanje malvera

Malver LummaC2 v4.0 koji krade podatke, izbegava otkrivanje koristeći trigonometriju da bi razlikovao ljudske korisnike od automatizovanih alata za ... Dalje

Malver StripedFly zarazio više od milion računara

Malver StripedFly zarazio više od milion računara

Punih pet godina jedan malver ostao je neprimećen zarazivši za to vreme više od milion Windows i Linux sistema. Pravu prirodu malvera StripedFly ko... Dalje