Kako jedan ransomware i jedan Trojanac zajedno pljačkaju bitcoin novčanike

Opisi virusa, 28.03.2014, 09:52 AM

CryptoLocker i drugi slični maliciozni programi koji se nazivaju zajedničkim imenom ransomware su već izvesno vreme veliki problem. Oni su poznati po tome što iznuđuju novac od žrtava čije su računare blokirali ili šifrovali njihove fajlove na zaraženim računarima.

Ovim malverima pridružio se još jedan novi ransomware nazvan BitCrypt koji se razlikuje od svojih srodnika po tome što usput može i da prazni Bitcoin novčanike.

Za sada su identifikovane dve verzije ove pretnje. Jedna verzija, nazvana TROJ_CRIBIT.A, dodaje “.bitcrypt” svim šiforvanim fajlovima i prikazuje obaveštenje o otkupu fajlova samo na engleskom jeziku. Druga verzija malvera, TROJ_CRIBIT.B, dodaje “.bitcrypt2” i koristi čak 10 jezika na kojima se obraća žrtvama: engleski, francuski, nemački, ruski, italijanski, španski, portugalski, japanski, kineski i arapski.

BitCrypt se pojavio u februaru a njegov razvoj je najverovatnije inspirisan uspehom sličnih programa, posebno ransomwarea Cryptolocker koji je zarazio više od 250000 računara tokom poslednja tri meseca prošle godine.

Kao i CryptoLocker, i BitCrypt posle instalacije šifruje širok spektar različitih fajlova, uključujući i dokumente i slike. Žrtvama ne samo da je onemogućen pristup ličnim fajlovima, već ne mogu da pristupe ni projektima na kojima rade, a problem je nerešiv ako korisnik zaraženog računara nema eksterno napravljene rezervne kopije.

Prva verzija BitCrypt ransomwarea je tvrdila da koristi jaku RSA-1024 enkripciju, ali su stručnjaci firme AIRBUS Defence & Space otkrili propuste u implementaciji koji omogućavaju da se napravi program za dešifrovanje fajlova koje je “zarobio” malver.

Međutim, druga verzija malvera koju su otkrili stručnjaci kompanije Trend Micro a koja se pojavila ovog meseca, je unapređena i najverovatnije su njeni autori planirali široku distribuciju, s obzirom da se malver obraća žrtvama na deset jezika.

Kada zarazi računar nova verzija BitCrypt ransomwarea zamenjuje sliku pozadine na radnoj površini slikom na kojoj piše “Your computer was infected by BitCrypt v2.0 cryptovirus” i upućuje žrtvu na fajl Bitcrypt.txt za dodatne instrukcije.

U fajlu se nalazi uputstvo kako pristupiti web sajtu skrivenom na Tor anonimnoj mreži da bi se dobio poseban program za dešifrovanje koji je jedinstven za svaku infekciju. Sajtu bi se inače se moglo pristupiti samo ako korisnik koristi Tor, ali su autori malvera mislili na sve detalje pa su obezbedili link za Tor2Web, servis koji omogućava posetu sajtovima Deep Weba čak i ako korisnici ne koriste Tor. Od korisnika se traži da unesu svoj jedinstveni ID infekcije i da plate 0,4 bitocina (oko 230 dolara) da bi dobili ovaj program.

Ono što je posebno zanimljivo, a što smo spomenuli na početku, je da se nova verzija BitCrypt malvera distribuira pomoću Trojanca nazvanog FAREIT koji je, između ostalog, poznat i kao kradljivac Bitcoina.

FAREIT pretražuje i pokušava da izvuče infromacije iz sledećih fajlova: wallet.dat (Bitcoin), electrum.dat (Electrum) i .wallet (MultiBit). Ove fajlove kreiraju i koriste različite Bitcoin klijent aplikacije.

Da biste izbegli ovakve probleme i plaćanje za pristup vlastitim fajlovima, neophodno je da redovno pravite kopije podataka. Najbolje je da to ne radite na istom računaru ili na deljenom mrežnom uređaju jer bi malver u tom slučaju mogao da se domogne i rezervnih kopija fajlova.