Malveri Zeus i CryptoLocker zajedno u akciji

Opisi virusa, 23.10.2013, 07:59 AM

Malveri Zeus i CryptoLocker zajedno u akciji

CryptoLocker, novi ransomware o kome se u poslednje vreme mnogo govori, poznat je po tome što traži od korisnika da za 300 dolara kupi alat za dešifrovanje fajlova na zaraženom računaru, ostavljajući rok (obično 100 sati) za kupovinu alata nakon čega se jedini primerak privatnog ključa koji bi mogao da dešifruje fajlove briše sa servera koji je pod kontrolom kriminalaca.

Na CryptoLocker smo vas nedavno upozorili jer je reč o veoma destruktivnom malveru za koji je jedini lek prevencija. S obzirom da trenutno nema načina da se povrate podaci bez plaćanja kriminalcima, mnogi bi se možda odlučili da ipak plate traženu sumu. Pa čak i tom slučaju, sudbina šifrovanih fajlova je neizvesna.

Stručnjaci kompanije Trend Micro sada su otvorili još jednu temu koja se tiče ovog malvera analizirajući način distribucije malvera i njegovu vezu sa drugim malverima, posebno sa poznatim Trojancem ZBOT (Zeus).

Jedan od za sada poznatih načina širenja CryptoLocker-a je spam. Spam email poruke sadrže maliciozne priloge sa malverom TROJ_UPATRE, malim zlonamernim fajlom koji ima jednostavnu funkciju - da preuzima druge malvere.

Spam email poruka koju su analizirali stručnjaci Trend Micro sadrži prilog u kome se nalazi Trojanac Upatre koji kada se pokrene, preuzima drugi fajl koji će biti sačuvan na računaru kao fajl pod nazivom cjkienn.exe (TSPY_ZBOT.VNA). Malver tada preuzima CryptoLocker (TROJ_CRILOCK.NS).

Ova pretnja je veoma opasna iz dva razloga. Najpre zato što je ZeuS (ZBOT) malver koji je poznat po tome što krade podatke za prijavljivanje na online bankovne naloge. Napadači ga mogu koristiti za neovlašćene novčane transakcije ili pak, ukradene podatke mogu prodati na crnom tržištu. Drugi razlog je sam CryptoLocker jer on onemogućava korisniku da pristupi važnim fajlovima na računaru.

Stručnjaci Trend Micro koji su analizirali malver kažu da on koristi AES + RSA enkripciju.

RSA je algoritam koji koristi asimetričnu kriptografiju sa dva ključa, jednim koji se koristi za šifrovanje podataka i drugi za dešifrovanje podataka. Jedan ključ je javan i dostupan svima a drugi je privatan i dostupan samo onome ko treba da dešifruje fajlove. AES je algoritam simetričnog ključa (isti ključ se koristi za šifrovanje i dešifrovanje podataka).

Malver koristi AES ključ za šifrovanje fajlova. AES ključ za dešifrovanje je zapisan u fajlovima koje šifruje malver. Ovaj ključ je šifrovan RSA javnim ključem koji je umetnut u malver, što znači da je potreban privatni ključ da ga dešifruje. Na žalost, korisniku je taj privatni ključ nedostupan.

Stručnjaci kažu da CryptoLocker mora da se poveže sa određenim URL-ovima. Ako malver ne uspe u tome, on neće dobiti javni ključ što će ga sprečiti da šifruje fajlove. S obzirom da antivirusi najčešće blokiraju pokušaje malvera da komunicira sa serverom za komandu i kontrolu, malver će biti onemogućen da šifruje fajlove na računaru.

Stručnjaci upozoravaju korisnike računara da budu veoma oprezni kada otvaraju priloge u emailovima. Pouzdano antivirusno rešenje bi takođe bilo od pomoći, kažu stručnjaci.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Popularna platforma se zloupotrebljava za širenje malvera

Popularna platforma se zloupotrebljava za širenje malvera

Godot Engine, popularna platforma za razvoj igara koja omogućava korisnicima da dizajniraju 2D i 3D igre na različitim platformama, uključujući ... Dalje

Hakeri koriste Excel fajlove za širenje opasnog trojanca Remcos RAT

Hakeri koriste Excel fajlove za širenje opasnog trojanca Remcos RAT

Istraživači sajber bezbednosti FortiGuard Labsa otkrili su opasnu phishing kampanju koja distribuira novu varijantu malvera Remcos RAT (Remote Acces... Dalje

Novi malver SteelFox sakriven u programima za nelegalnu aktivaciju softvera

Novi malver SteelFox sakriven u programima za nelegalnu aktivaciju softvera

Kaspersky upozorava na novi crimeware pod nazivom SteelFox koji rudari kriptovalute i krade podatke o kreditnim karticama koristeći tehniku „b... Dalje

Novi opasni malver WarmCookie krije se u linkovima i prilozima u emailovima

Novi opasni malver WarmCookie krije se u linkovima i prilozima u emailovima

Istraživači sajber bezbednosti iz kompanije Cisco Talos upozorili su na novi malver pod nazivom WarmCookie, takođe poznat kao BadSpace, koji se ši... Dalje

Lažni poslodavci novim malverom inficiraju računare onih koji posao traže na LinkedInu i X-u

Lažni poslodavci novim malverom inficiraju računare onih koji posao traže na LinkedInu i X-u

Nova verzija malvera BeaverTail koristi se za napade na ljude koji traže posao u tehnološkoj industriji. Napad, koji su otkrili istraživači iz Uni... Dalje