Kako jedan ransomware i jedan Trojanac zajedno pljačkaju bitcoin novčanike

Opisi virusa, 28.03.2014, 09:52 AM

Kako jedan ransomware i jedan Trojanac zajedno pljačkaju bitcoin novčanike

CryptoLocker i drugi slični maliciozni programi koji se nazivaju zajedničkim imenom ransomware su već izvesno vreme veliki problem. Oni su poznati po tome što iznuđuju novac od žrtava čije su računare blokirali ili šifrovali njihove fajlove na zaraženim računarima.

Ovim malverima pridružio se još jedan novi ransomware nazvan BitCrypt koji se razlikuje od svojih srodnika po tome što usput može i da prazni Bitcoin novčanike.

Za sada su identifikovane dve verzije ove pretnje. Jedna verzija, nazvana TROJ_CRIBIT.A, dodaje “.bitcrypt” svim šiforvanim fajlovima i prikazuje obaveštenje o otkupu fajlova samo na engleskom jeziku. Druga verzija malvera, TROJ_CRIBIT.B, dodaje “.bitcrypt2” i koristi čak 10 jezika na kojima se obraća žrtvama: engleski, francuski, nemački, ruski, italijanski, španski, portugalski, japanski, kineski i arapski.

BitCrypt se pojavio u februaru a njegov razvoj je najverovatnije inspirisan uspehom sličnih programa, posebno ransomwarea Cryptolocker koji je zarazio više od 250000 računara tokom poslednja tri meseca prošle godine.

Kao i CryptoLocker, i BitCrypt posle instalacije šifruje širok spektar različitih fajlova, uključujući i dokumente i slike. Žrtvama ne samo da je onemogućen pristup ličnim fajlovima, već ne mogu da pristupe ni projektima na kojima rade, a problem je nerešiv ako korisnik zaraženog računara nema eksterno napravljene rezervne kopije.

Prva verzija BitCrypt ransomwarea je tvrdila da koristi jaku RSA-1024 enkripciju, ali su stručnjaci firme AIRBUS Defence & Space otkrili propuste u implementaciji koji omogućavaju da se napravi program za dešifrovanje fajlova koje je “zarobio” malver.

Međutim, druga verzija malvera koju su otkrili stručnjaci kompanije Trend Micro a koja se pojavila ovog meseca, je unapređena i najverovatnije su njeni autori planirali široku distribuciju, s obzirom da se malver obraća žrtvama na deset jezika.

Kada zarazi računar nova verzija BitCrypt ransomwarea zamenjuje sliku pozadine na radnoj površini slikom na kojoj piše “Your computer was infected by BitCrypt v2.0 cryptovirus” i upućuje žrtvu na fajl Bitcrypt.txt za dodatne instrukcije.

U fajlu se nalazi uputstvo kako pristupiti web sajtu skrivenom na Tor anonimnoj mreži da bi se dobio poseban program za dešifrovanje koji je jedinstven za svaku infekciju. Sajtu bi se inače se moglo pristupiti samo ako korisnik koristi Tor, ali su autori malvera mislili na sve detalje pa su obezbedili link za Tor2Web, servis koji omogućava posetu sajtovima Deep Weba čak i ako korisnici ne koriste Tor. Od korisnika se traži da unesu svoj jedinstveni ID infekcije i da plate 0,4 bitocina (oko 230 dolara) da bi dobili ovaj program.

Ono što je posebno zanimljivo, a što smo spomenuli na početku, je da se nova verzija BitCrypt malvera distribuira pomoću Trojanca nazvanog FAREIT koji je, između ostalog, poznat i kao kradljivac Bitcoina.

FAREIT pretražuje i pokušava da izvuče infromacije iz sledećih fajlova: wallet.dat (Bitcoin), electrum.dat (Electrum) i .wallet (MultiBit). Ove fajlove kreiraju i koriste različite Bitcoin klijent aplikacije.

Da biste izbegli ovakve probleme i plaćanje za pristup vlastitim fajlovima, neophodno je da redovno pravite kopije podataka. Najbolje je da to ne radite na istom računaru ili na deljenom mrežnom uređaju jer bi malver u tom slučaju mogao da se domogne i rezervnih kopija fajlova.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi trojanac BloodyStealer krade Epic Games i Steam naloge

Novi trojanac BloodyStealer krade Epic Games i Steam naloge

Novi trojanac koji se prodaje na ruskim hakerskim forumima onima koji ga kupe nudi mogućnost krađe korisničkih naloga na popularnim servisima kao ... Dalje

Opasni bankarski trojanac u Google oglasima u rezultatima pretrage

Opasni bankarski trojanac u Google oglasima u rezultatima pretrage

Ako na pretraživačima poput Googlea tražite softver TeamViewer mogli biste naleteti na linkove koji bi vas mogli odvesti do lažnih sajtova na koji... Dalje

Nova varijanta malvera AdLoad prolazi neprimećena Appleovu XProtect odbranu od malvera

Nova varijanta malvera AdLoad prolazi neprimećena Appleovu XProtect odbranu od malvera

Nova varijanta malvera AdLoad provlači se kroz Appleovu ugrađenu antivirusnu tehnologiju XProtect i inficira Mac računare u okviru više kampanja k... Dalje

Novi trojanac FatalRAT širi se preko Telegrama

Novi trojanac FatalRAT širi se preko Telegrama

Sajber kriminalci koriste Telegram kanale da bi širili novog trojanca koji im omogućava daljinski pristup inficiranim uređajima (RAT). Istraživač... Dalje

Microsoft upozorio na malver LemonDuck koji inficira i Windows i Linux

Microsoft upozorio na malver LemonDuck koji inficira i Windows i Linux

LemonDuck je prvi put otkriven u Kini 2019. godine kao botnet koji je inficirane sisteme koristio za rudarenje kriptovalute Monero. Međutim, on je u ... Dalje