Malver CryptoDefence koristi ranjivosti u Javi da bi zarazio računare

Opisi virusa, 02.06.2014, 09:05 AM

Malver CryptoDefence koristi ranjivosti u Javi da bi zarazio računare

Ako na ekranu vidite txt ili HTML fajl nazvan "HOW_TO_DECRYPT" vaš računar je verovatno zaražen kripto-ransomwareom CryptoDefence, kažu stručnjaci Bromium Labsa.

CryptoDefence je manje poznati srodnik ransomwarea CryptoLocker, ali ne i manje neugodan za žrtve. On šifruje dokumente, izvorni kod i SSL sertfikate na zaraženim računarima, i kao i svi malveri ove vrste zahteva od žrtava, korisnika zaraženih računara, da digitalnom valutom, bitocinom, plate otkup da bi im zarobljeni šifrovani fajlovi bili vraćeni u prvobitno stanje.

Da imaju problem žrtve će otkriti kada uoče fajl na radnoj površini nazvan HOW_TO_DECRYPT.

“Svi fajlovi uključujući i video fajlove, fotografije i dokumente na vašem računaru su šifrovani CryptoDefence Softverom.
“Šifrovanje je izvedeno korišćenjem jedinstvenog javnog ključa RSA-2048 generisanog za ovaj računar. Za dešifrovanje fajlova potrebno je da dobijete privatni ključ.
Jedina kopija privatnog ključa, koja će vam omogućiti dešifrovanje fajlova, nalazi se na tajnom serveru na internetu; server će uništiti ključ posle mesec dana. Nakon toga, niko i nikad neće moći da povrati fajlove.
Da bi dešifrovali fajlove, otvorite vašu ličnu stranicu na sajtu [link] i sledite instrukcije.”

To je sadržaj obaveštenja koje prikazuje CryptoDefence.

Ako žrtva otvori link koji se nalazi u poruci, on vodi do web stranice na kojoj se korisnik podstiče da plati otkup, pošto prethodno unese kod sa slike (CAPTCHA test).

Servis CryptoDefence malvera dosta dobro funkcioniše i to na brojnim jezicima.

Kada korisnik dođe do stranice za plaćanje, saznaće da nije u datom roku platio otkup svojih fajlova, iako ustvari nikakav rok nije ni spomenut prethodno.

Zbog toga će morati da plati dvostruko uvećanu cenu za dešifrovanje fajlova, odnosno 1000 američkih dolara ili evra.

Naravno, kriminalcima ne treba plaćati ništa, pre svega zbog toga što to deluje na njih podsticajno pa će pokretati nove napade. Pored toga, nema garancije da će plaćanje zaista omogućiti žrtvi pristup fajlovima. Naprotiv, moguće je da će biti novih ucena.

Bolje rešenje je backup, redovno pravljenje rezervnih kopija važnih fajlova, tako da će u slučaju infekcije CryptoDefenceom biti dovoljno da korisnik očisti računar i povrati fajlove iz napravljene kopije.

CryptoDefence se širi preko email atačmenta ali sada i preko Jave, drive-by download napadima, što značajno uvećava šanse malvera za infekciju računara.

Java je i inače veoma popularna među sajber kriminalcima. Ona je multiplatformna, što znači da ovakvi pokušaji infekcije mogu biti uspešni na različitim operativnim sistemima. Napadači često koriste Javu u početnoj fazi napada da bi zatim isporučili payload prilagođen napadnutom sistemu.

Ako vam je Java zaista potrebna, primenjujte redovno sve dostupne bezbednosne ispravke. Možete je i deinstalirati u potpunosti. Ili pak isključiti u browseru. Ili jedan browser sa isključenom Javom koristiti za surfovanje internetom a drugi samo kada vam je potrebna Java.

Detaljnije o malveru CryptoDefence na blogu Bromium Labsa i na našem sajtu.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Malver TrickBot zaobilazi dvofaktornu zaštitu banaka novom Android aplikacijom TrickMo

Malver TrickBot zaobilazi dvofaktornu zaštitu banaka novom Android aplikacijom TrickMo

Sajber-kriminalci koji stoje iza malvera TrickBot koriste Aandroid aplikaciju koju su napravili da bi zaobišli dvofaktornu (2FA) zaštitu koju korist... Dalje

Novi ransomware se zove CoronaVirus, ali on nije najgore što se može desiti vašem računaru

Novi ransomware se zove CoronaVirus, ali on nije najgore što se može desiti vašem računaru

Nova ransomware nazvan CoronaVirus širi se preko lažnog web sajta koji reklamira softver za optimizaciju sistema i druge programe WiseCleanera. Sajb... Dalje

Android malver Cerberus sada može da krade kodove za 2FA iz Google Authenticatora i daljinski otključava uređaj

Android malver Cerberus sada može da krade kodove za 2FA iz Google Authenticatora i daljinski otključava uređaj

Bankarski trojanac Cerberus je nadograđen i sada može da krade kodove Google Authenticatora za dvofaktornu autentifikaciju (2FA) koja se koristi kao... Dalje

Malver Emotet hakuje obližnje Wi-Fi mreže i inficira računare povezane na njih

Malver Emotet hakuje obližnje Wi-Fi mreže i inficira računare povezane na njih

Zloglasni trojanac Emotet koji stoji iza brojnih spam kampanja i napada ransomwarea, sada ima novi način napada: koristi već zaražene uređaje za ... Dalje

Ransomware koristi ranjivi Windows drajver da bi isključio antivirus na računaru

Ransomware koristi ranjivi Windows drajver da bi isključio antivirus na računaru

Kompanija Sophos upozorila je na napad ransomwarea u kome se koristi ranjivi drajver tajvanskog proizvođača matičnih ploča Gigabyte za upad u Wind... Dalje