Malveri Zeus i CryptoLocker zajedno u akciji

Opisi virusa, 23.10.2013, 07:59 AM

Malveri Zeus i CryptoLocker zajedno u akciji

CryptoLocker, novi ransomware o kome se u poslednje vreme mnogo govori, poznat je po tome što traži od korisnika da za 300 dolara kupi alat za dešifrovanje fajlova na zaraženom računaru, ostavljajući rok (obično 100 sati) za kupovinu alata nakon čega se jedini primerak privatnog ključa koji bi mogao da dešifruje fajlove briše sa servera koji je pod kontrolom kriminalaca.

Na CryptoLocker smo vas nedavno upozorili jer je reč o veoma destruktivnom malveru za koji je jedini lek prevencija. S obzirom da trenutno nema načina da se povrate podaci bez plaćanja kriminalcima, mnogi bi se možda odlučili da ipak plate traženu sumu. Pa čak i tom slučaju, sudbina šifrovanih fajlova je neizvesna.

Stručnjaci kompanije Trend Micro sada su otvorili još jednu temu koja se tiče ovog malvera analizirajući način distribucije malvera i njegovu vezu sa drugim malverima, posebno sa poznatim Trojancem ZBOT (Zeus).

Jedan od za sada poznatih načina širenja CryptoLocker-a je spam. Spam email poruke sadrže maliciozne priloge sa malverom TROJ_UPATRE, malim zlonamernim fajlom koji ima jednostavnu funkciju - da preuzima druge malvere.

Spam email poruka koju su analizirali stručnjaci Trend Micro sadrži prilog u kome se nalazi Trojanac Upatre koji kada se pokrene, preuzima drugi fajl koji će biti sačuvan na računaru kao fajl pod nazivom cjkienn.exe (TSPY_ZBOT.VNA). Malver tada preuzima CryptoLocker (TROJ_CRILOCK.NS).

Ova pretnja je veoma opasna iz dva razloga. Najpre zato što je ZeuS (ZBOT) malver koji je poznat po tome što krade podatke za prijavljivanje na online bankovne naloge. Napadači ga mogu koristiti za neovlašćene novčane transakcije ili pak, ukradene podatke mogu prodati na crnom tržištu. Drugi razlog je sam CryptoLocker jer on onemogućava korisniku da pristupi važnim fajlovima na računaru.

Stručnjaci Trend Micro koji su analizirali malver kažu da on koristi AES + RSA enkripciju.

RSA je algoritam koji koristi asimetričnu kriptografiju sa dva ključa, jednim koji se koristi za šifrovanje podataka i drugi za dešifrovanje podataka. Jedan ključ je javan i dostupan svima a drugi je privatan i dostupan samo onome ko treba da dešifruje fajlove. AES je algoritam simetričnog ključa (isti ključ se koristi za šifrovanje i dešifrovanje podataka).

Malver koristi AES ključ za šifrovanje fajlova. AES ključ za dešifrovanje je zapisan u fajlovima koje šifruje malver. Ovaj ključ je šifrovan RSA javnim ključem koji je umetnut u malver, što znači da je potreban privatni ključ da ga dešifruje. Na žalost, korisniku je taj privatni ključ nedostupan.

Stručnjaci kažu da CryptoLocker mora da se poveže sa određenim URL-ovima. Ako malver ne uspe u tome, on neće dobiti javni ključ što će ga sprečiti da šifruje fajlove. S obzirom da antivirusi najčešće blokiraju pokušaje malvera da komunicira sa serverom za komandu i kontrolu, malver će biti onemogućen da šifruje fajlove na računaru.

Stručnjaci upozoravaju korisnike računara da budu veoma oprezni kada otvaraju priloge u emailovima. Pouzdano antivirusno rešenje bi takođe bilo od pomoći, kažu stručnjaci.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Malver TrickBot greškom upozorava žrtve da su zaražene

Malver TrickBot greškom upozorava žrtve da su zaražene

Zloglasni malver TrickBot greškom upozorava žrtve da su zaražene i da treba da se obrate svom administratoru. TrickBot se najčešće širi preko ... Dalje

Za žrtve ransomwarea EvilQuest koji šifruje i krade fajlove sa macOS postoji besplatno rešenje

Za žrtve ransomwarea EvilQuest koji šifruje i krade fajlove sa macOS postoji besplatno rešenje

Loš kod ransomwarea ThiefQuest, koji isključivo inficira macOS uređaje, omogućava vraćanje šifrovanih fajlova, koji bi, da autori malvera nisu ... Dalje

Otkriven novi ransomware koji isključivo inficira macOS

Otkriven novi ransomware koji isključivo inficira macOS

Novi ransomware nazvan OSX.EvilQuest, otkriven ove nedelje, inficira isključivo macOS uređaje. Ono po čemu se razlikuje od drugih ransomwarea za ma... Dalje

Ransomware Sodinokibi (REvil) ima novu taktiku za izvlačenje novca od žrtava

Ransomware Sodinokibi (REvil) ima novu taktiku za izvlačenje novca od žrtava

Grupa koja stoji iza jednog od najuspešnijih ransomwarea sada skenira mreže kompanija kako bi pronašla podatke o platnim karticama, plaćanjima i s... Dalje

Sajber-kriminalci manipulišu Google pretragom da bi širili novi malver za Mac

Sajber-kriminalci manipulišu Google pretragom da bi širili novi malver za Mac

Većina korisnika prilikom pretraživanja interneta je svesna da postoje zlonamerni sajtovi na kojima treba biti oprezan. Ali, za pretraživače Goog... Dalje