Kako jedan ransomware i jedan Trojanac zajedno pljačkaju bitcoin novčanike
Opisi virusa, 28.03.2014, 09:52 AM

CryptoLocker i drugi slični maliciozni programi koji se nazivaju zajedničkim imenom ransomware su već izvesno vreme veliki problem. Oni su poznati po tome što iznuđuju novac od žrtava čije su računare blokirali ili šifrovali njihove fajlove na zaraženim računarima.
Ovim malverima pridružio se još jedan novi ransomware nazvan BitCrypt koji se razlikuje od svojih srodnika po tome što usput može i da prazni Bitcoin novčanike.
Za sada su identifikovane dve verzije ove pretnje. Jedna verzija, nazvana TROJ_CRIBIT.A, dodaje “.bitcrypt” svim šiforvanim fajlovima i prikazuje obaveštenje o otkupu fajlova samo na engleskom jeziku. Druga verzija malvera, TROJ_CRIBIT.B, dodaje “.bitcrypt2” i koristi čak 10 jezika na kojima se obraća žrtvama: engleski, francuski, nemački, ruski, italijanski, španski, portugalski, japanski, kineski i arapski.
BitCrypt se pojavio u februaru a njegov razvoj je najverovatnije inspirisan uspehom sličnih programa, posebno ransomwarea Cryptolocker koji je zarazio više od 250000 računara tokom poslednja tri meseca prošle godine.
Kao i CryptoLocker, i BitCrypt posle instalacije šifruje širok spektar različitih fajlova, uključujući i dokumente i slike. Žrtvama ne samo da je onemogućen pristup ličnim fajlovima, već ne mogu da pristupe ni projektima na kojima rade, a problem je nerešiv ako korisnik zaraženog računara nema eksterno napravljene rezervne kopije.
Prva verzija BitCrypt ransomwarea je tvrdila da koristi jaku RSA-1024 enkripciju, ali su stručnjaci firme AIRBUS Defence & Space otkrili propuste u implementaciji koji omogućavaju da se napravi program za dešifrovanje fajlova koje je “zarobio” malver.
Međutim, druga verzija malvera koju su otkrili stručnjaci kompanije Trend Micro a koja se pojavila ovog meseca, je unapređena i najverovatnije su njeni autori planirali široku distribuciju, s obzirom da se malver obraća žrtvama na deset jezika.
Kada zarazi računar nova verzija BitCrypt ransomwarea zamenjuje sliku pozadine na radnoj površini slikom na kojoj piše “Your computer was infected by BitCrypt v2.0 cryptovirus” i upućuje žrtvu na fajl Bitcrypt.txt za dodatne instrukcije.
U fajlu se nalazi uputstvo kako pristupiti web sajtu skrivenom na Tor anonimnoj mreži da bi se dobio poseban program za dešifrovanje koji je jedinstven za svaku infekciju. Sajtu bi se inače se moglo pristupiti samo ako korisnik koristi Tor, ali su autori malvera mislili na sve detalje pa su obezbedili link za Tor2Web, servis koji omogućava posetu sajtovima Deep Weba čak i ako korisnici ne koriste Tor. Od korisnika se traži da unesu svoj jedinstveni ID infekcije i da plate 0,4 bitocina (oko 230 dolara) da bi dobili ovaj program.
Ono što je posebno zanimljivo, a što smo spomenuli na početku, je da se nova verzija BitCrypt malvera distribuira pomoću Trojanca nazvanog FAREIT koji je, između ostalog, poznat i kao kradljivac Bitcoina.
FAREIT pretražuje i pokušava da izvuče infromacije iz sledećih fajlova: wallet.dat (Bitcoin), electrum.dat (Electrum) i .wallet (MultiBit). Ove fajlove kreiraju i koriste različite Bitcoin klijent aplikacije.
Da biste izbegli ovakve probleme i plaćanje za pristup vlastitim fajlovima, neophodno je da redovno pravite kopije podataka. Najbolje je da to ne radite na istom računaru ili na deljenom mrežnom uređaju jer bi malver u tom slučaju mogao da se domogne i rezervnih kopija fajlova.

Izdvojeno
Nevidljivi lopov: Kako NFC malver SuperCard krade novac sa računa korisnika Androida

Ruski stručnjaci za sajber bezbednost upozorili su na napade u kojima se za krađu podataka koristi modifikovana verzija legitimnog NFC softvera. Oni... Dalje
Novi opasni ransomware briše sadržaj fajlova na uređajima
.png)
Istraživači iz kompanije Trend Micro otkrili su novi ransomware koji osim mogućnosti šifrovanja fajlova, ima mogućnost i njihovog trajnog brisa... Dalje
Malver Myth Stealer: kradljivac podataka na lažnim sajtovima sa video igrama

Istraživači sajber bezbednosti iz Trellix-a upozorili su na novi malver za krađu podataka pod nazivom Myth Stealer, koji se širi putem lažnih veb... Dalje
Malver Acreed: nova zvezda na crnom sajber-tržištu
.jpg)
Na ruskom hakerskom sajtu Russian Market pojavio se novi malver po imenu Acreed, koji je za kratko vreme postao veoma popularan, a očekuje se da će ... Dalje
Malver FrigidStealer inficira macOS preko lažnih ažuriranja Safari-ja
.jpg)
Istraživači iz firme za sajber bezbednost Wazuh upozorili su na malver FrigidStealer koji inficira macOS preko lažnih ažuriranja pregledača da bi... Dalje
Pratite nas
Nagrade