Lažna tehnička podrška koja govori istinu: računar je zaista inficiran ransomwareom VindowsLocker

Opisi virusa, 30.11.2016, 10:00 AM

Lažna tehnička podrška koja govori istinu: računar je zaista inficiran ransomwareom VindowsLocker

Lažna tehnička podrška ima novu taktiku: prevaranti sada koriste ransomware da bi primorali korisnike da plate "čišćenje" inficiranih računara.

Ovi prevaranti, za razliku od svojih kolega koji se predstavljaju kao tehnička podrška, govore istinu: računar je zaista inficiran, i to ransomwareom VindowsLocker.

Poruka koja se prikazuje žrtvi pošto ransomware šifruje fajlove kojima dodaje ekstenziju .vindows glasi:

"ovo nije podrška za microsoft vindows. zaključali smo vaše fajlove virusom zeus. uradite jednu stvar i pozovite nivo 5 microsoftove tehničke podrške na 1-844-609-3192. dobićete svoje fajlove nazad za 349,99 dolara."

Onima koji budu pozvali ovaj broj javiće se neko u Indiji koji će ih uputiti na stranicu za plaćanje sa formom koju žrtva treba da popuni.

Podaci koji se traže od žrtve su email adresa, datum rođenja, broj socijalnog osiguranja, vrsta kreditne kartice, broj kartice, datum isteka, CVV, kao i iznos koji treba uplatiti. Ove podatke prevaranti kasnije mogu upotrebiti za neovlašćena plaćanja sa računa žrtve.

Stručnjaci kompanije Malwarebytes upozorili su korisnike da čak i u slučaju da urade ono što ovi prevaranti traže od njih, neće dobiti ključ za dešifrovanje fajlova. Ransomware zloupotrebljava Pastebinov API da bi prevarantima isporučivao enkripcijske ključeve preko Pastebina. Dakle, VindowsLocker se po tome razlikuje od drugih ransomwarea jer ne koristi komando-kontrolni server za čuvanje enkripcijskih ključeva žrtava.

Ransomware dolazi hardkodovan sa dva Pastebin API ključa: api_dev_key i api_user_key. VindowsLocker koristi ova dva API ključa za čuvanje imena inficiranog računara i AES ključa korišćenog za šifrovanje žrtvinih fajlova, unutar Pastebin stranice.

Namera autora je bila da prevaranti ključeve dobijaju sa Pastebina tako što će se prijaviti na svoj nalog, i da ih kasnije prodaju žrtvama. Međutim, autor ransomwarea je napravio grešku tako da prevaratni ustvari ne mogu da dođu do ključeva onako kako je to planirano.

On je koristio jedan od API ključeva za kratke sesije korisnika. To znači da je posle određenog vremena API ključ istekao i da su fajlovi sačuvani na profilu autora VindowsLockera sačuvani pod unosom "gost".

Zato autor VindowsLockera ne može da pomogne žrtvama sve i da hoće. To ne sprečava prevarante da šire ovaj ransomware "sa greškom".

Srećom, za žrtve postoje čak dva besplatna rešenja, dva dekriptera - jedan čiji su autori istraživači iz kompanije Malwarebytes Hasherezade i Džerom Segura, i jedan koji potpisuje istraživač @TheWack0lian. Ovaj drugi je lakši za upotrebu jer korisnik treba samo da ga pokrene i klikne na dugme "Decrypt".

Ono što je još uvek nepoznato je kako dolazi do infekcije računara ovim ransomwareom.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Poznati bankarski trojanac Trickbot sada krade lozinke i iz browsera i aplikacija

Poznati bankarski trojanac Trickbot sada krade lozinke i iz browsera i aplikacija

Poznati bankarski trojanac Trickbot unapređen je novim modulima koji su dizajnirani da prošire njegove mogućnosti, tako da sada omogućava napada... Dalje

Lažna Flash ažuriranja šire kriptomajner XMRig

Lažna Flash ažuriranja šire kriptomajner XMRig

Maliciozna ažuriranja za Flash često su korišćena za širenje droppera, malvera koji instaliraju druge malvere, ali istraživači iz Palo Alto Uni... Dalje

Posle pet godina napada na korisnike banaka, otkriven malver Dark Tequila

Posle pet godina napada na korisnike banaka, otkriven malver Dark Tequila

Istraživači iz kompanije Kaspersky Labs otkrili su složenu kampanju distribucije jednog malvera koja je usmerena na korisnike meksičkih banaka i k... Dalje

Distributeri ransomwarea SamSam zaradili skoro 6 miliona dolara od žrtava

Distributeri ransomwarea SamSam zaradili skoro 6 miliona dolara od žrtava

Ransomware SamSam zaradio je svom tvorcu više od 5,9 miliona dolara, koliko su platile žrtve od kada se pojavio malver, krajem 2015. godine. Ovo je ... Dalje

PowerGhost: Novi majner koji isključivo napada firme širom sveta

PowerGhost: Novi majner koji isključivo napada firme širom sveta

Istraživači kompanije Kaspersky Lab otkrili su novi malver za rudarenje kriptovaluta, nazvan PowerGhost, koji je pogodio korporativne mreže u nekol... Dalje