Lažna tehnička podrška koja govori istinu: računar je zaista inficiran ransomwareom VindowsLocker
Opisi virusa, 30.11.2016, 10:00 AM

Lažna tehnička podrška ima novu taktiku: prevaranti sada koriste ransomware da bi primorali korisnike da plate "čišćenje" inficiranih računara.
Ovi prevaranti, za razliku od svojih kolega koji se predstavljaju kao tehnička podrška, govore istinu: računar je zaista inficiran, i to ransomwareom VindowsLocker.
Poruka koja se prikazuje žrtvi pošto ransomware šifruje fajlove kojima dodaje ekstenziju .vindows glasi:
"ovo nije podrška za microsoft vindows. zaključali smo vaše fajlove virusom zeus. uradite jednu stvar i pozovite nivo 5 microsoftove tehničke podrške na 1-844-609-3192. dobićete svoje fajlove nazad za 349,99 dolara."
Onima koji budu pozvali ovaj broj javiće se neko u Indiji koji će ih uputiti na stranicu za plaćanje sa formom koju žrtva treba da popuni.
Podaci koji se traže od žrtve su email adresa, datum rođenja, broj socijalnog osiguranja, vrsta kreditne kartice, broj kartice, datum isteka, CVV, kao i iznos koji treba uplatiti. Ove podatke prevaranti kasnije mogu upotrebiti za neovlašćena plaćanja sa računa žrtve.
Stručnjaci kompanije Malwarebytes upozorili su korisnike da čak i u slučaju da urade ono što ovi prevaranti traže od njih, neće dobiti ključ za dešifrovanje fajlova. Ransomware zloupotrebljava Pastebinov API da bi prevarantima isporučivao enkripcijske ključeve preko Pastebina. Dakle, VindowsLocker se po tome razlikuje od drugih ransomwarea jer ne koristi komando-kontrolni server za čuvanje enkripcijskih ključeva žrtava.
Ransomware dolazi hardkodovan sa dva Pastebin API ključa: api_dev_key i api_user_key. VindowsLocker koristi ova dva API ključa za čuvanje imena inficiranog računara i AES ključa korišćenog za šifrovanje žrtvinih fajlova, unutar Pastebin stranice.
Namera autora je bila da prevaranti ključeve dobijaju sa Pastebina tako što će se prijaviti na svoj nalog, i da ih kasnije prodaju žrtvama. Međutim, autor ransomwarea je napravio grešku tako da prevaratni ustvari ne mogu da dođu do ključeva onako kako je to planirano.
On je koristio jedan od API ključeva za kratke sesije korisnika. To znači da je posle određenog vremena API ključ istekao i da su fajlovi sačuvani na profilu autora VindowsLockera sačuvani pod unosom "gost".
Zato autor VindowsLockera ne može da pomogne žrtvama sve i da hoće. To ne sprečava prevarante da šire ovaj ransomware "sa greškom".
Srećom, za žrtve postoje čak dva besplatna rešenja, dva dekriptera - jedan čiji su autori istraživači iz kompanije Malwarebytes Hasherezade i Džerom Segura, i jedan koji potpisuje istraživač @TheWack0lian. Ovaj drugi je lakši za upotrebu jer korisnik treba samo da ga pokrene i klikne na dugme "Decrypt".
Ono što je još uvek nepoznato je kako dolazi do infekcije računara ovim ransomwareom.

Izdvojeno
Matanbuchus 3.0: Povratak opasnog malvera
.jpg)
Istraživači sajber bezbednosti iz Morphisec-a upozorili su na novu verziju poznatog malvera Matanbuchus. U pitanju je sofisticirani “loader&rd... Dalje
Nevidljivi lopov: Kako NFC malver SuperCard krade novac sa računa korisnika Androida

Ruski stručnjaci za sajber bezbednost upozorili su na napade u kojima se za krađu podataka koristi modifikovana verzija legitimnog NFC softvera. Oni... Dalje
Novi opasni ransomware briše sadržaj fajlova na uređajima
.png)
Istraživači iz kompanije Trend Micro otkrili su novi ransomware koji osim mogućnosti šifrovanja fajlova, ima mogućnost i njihovog trajnog brisa... Dalje
Malver Myth Stealer: kradljivac podataka na lažnim sajtovima sa video igrama

Istraživači sajber bezbednosti iz Trellix-a upozorili su na novi malver za krađu podataka pod nazivom Myth Stealer, koji se širi putem lažnih veb... Dalje
Malver Acreed: nova zvezda na crnom sajber-tržištu
.jpg)
Na ruskom hakerskom sajtu Russian Market pojavio se novi malver po imenu Acreed, koji je za kratko vreme postao veoma popularan, a očekuje se da će ... Dalje
Pratite nas
Nagrade