Microsoft i FBI upozoravaju na novi ransomware Samas

Opisi virusa, 22.03.2016, 01:00 AM

Microsoft i FBI upozoravaju na novi ransomware Samas

Američki Federalni istražni biro (FBI) i kompanija Microsoft upozorili su na novi ransomware koji se detektuje kao Samas, Kazi ili RDN/Ransom. Samas se pojavio pre tri meseca i to u Evropi, Kini, Indiji i SAD, koje su najviše pogođene ovom pretnjom.

Infekcija ransomwareom Samas počinje kada napadači pronađu ranjivi server. U većini slučajeva, reč je o serverima koji imaju neažuriranu JBoss instalaciju. Iz Microsofta kažu da su napadači takođe koristili i ranjivosti u Java aplikacijama, kao što je korišćenje nebezbednog JNI (Java Native Interface) sa neažuriranim JBoss serverskim aplikacijama.

Napadači zatim koriste javno dostupni open-source alat reGeorg za skeniranje i mapiranje internih mreža. Oni zatim mogu da postave RAT Derusbi (Bladabindi) na inficirani server. Ovaj trojanac prikuplja login informacije za mrežne klijente, a zatim koristeći alat psexec.exe i niz batch skipti, postavlja ransomware Samas na računare interne mreže.

Na računarima koje je inficirao Samas započinje potragu za fajlovima na osnovu svoje liste extenzija koje cilja, a zatim šifruje njihov sadržaj RSA-2048 algoritmom.

Svakom šifrovanom fajlu dodaje se ekstenzija “encrypted.RSA”, a u svakom folderu u kome se nalaze šifrovani fajlovi, ransomware ostavlja obaveštenje o otkupu.

Kriminalci traže 1 bitcoin, oko 400 dolara za svaki inficirani računar. U početku su kriminalci koristili WordPress blog za uplate, ali su onda odlučili da koriste web sajt koji se hostuje na Toru, verovatno da bi izbegli probleme sa policijom.

Samas uz pomoć aplikacije vssadmin.exe briše sve Volume Shadow kopije i backup fajlove da bi sprečio žrtve da dođu do svojih podataka.

Za razliku od drugih ransomwarea koji za širenje koriste manje više automatizovane metode, kao što su spam ili malvertajzing, Samas ima drugačiji pristup koji zahteva veće angažovanja napadača, a razlog za to je što napadači ciljaju korporativne mreže gde mogu zarobiti vredne podatke za koje kompanije koje su žrtve mogu biti voljne da plate.

To možda govori u prilog pretpostavkama da je Samas delo hakera koji ne samo da imaju znanje i veštine, već i dosta iskustva u širenju ransomwarea.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Malver TrickBot greškom upozorava žrtve da su zaražene

Malver TrickBot greškom upozorava žrtve da su zaražene

Zloglasni malver TrickBot greškom upozorava žrtve da su zaražene i da treba da se obrate svom administratoru. TrickBot se najčešće širi preko ... Dalje

Za žrtve ransomwarea EvilQuest koji šifruje i krade fajlove sa macOS postoji besplatno rešenje

Za žrtve ransomwarea EvilQuest koji šifruje i krade fajlove sa macOS postoji besplatno rešenje

Loš kod ransomwarea ThiefQuest, koji isključivo inficira macOS uređaje, omogućava vraćanje šifrovanih fajlova, koji bi, da autori malvera nisu ... Dalje

Otkriven novi ransomware koji isključivo inficira macOS

Otkriven novi ransomware koji isključivo inficira macOS

Novi ransomware nazvan OSX.EvilQuest, otkriven ove nedelje, inficira isključivo macOS uređaje. Ono po čemu se razlikuje od drugih ransomwarea za ma... Dalje

Ransomware Sodinokibi (REvil) ima novu taktiku za izvlačenje novca od žrtava

Ransomware Sodinokibi (REvil) ima novu taktiku za izvlačenje novca od žrtava

Grupa koja stoji iza jednog od najuspešnijih ransomwarea sada skenira mreže kompanija kako bi pronašla podatke o platnim karticama, plaćanjima i s... Dalje

Sajber-kriminalci manipulišu Google pretragom da bi širili novi malver za Mac

Sajber-kriminalci manipulišu Google pretragom da bi širili novi malver za Mac

Većina korisnika prilikom pretraživanja interneta je svesna da postoje zlonamerni sajtovi na kojima treba biti oprezan. Ali, za pretraživače Goog... Dalje