Nova verzija ransomwarea FTCode krade lozinke iz Chromea i Firefoxa

Opisi virusa, 22.01.2020, 02:30 AM

Nova verzija ransomwarea FTCode krade lozinke iz Chromea i Firefoxa

Istraživači kompanije Zscaler otkrili su novu verziju FTCode ransomwarea, koja je detektovana kao 1117.1, za koju kažu da može da krade lozinke.

FTCode je ransomware koga su prvi primetili istraživači kompanije Sophos još 2013. godine, a malver se ponovo pojavio krajem septembra prošle godine u spam emailovima koji su stizali na email adrese italijanskih korisnika.

Analiza koju je sproveo tim ThreatLabZa kompanije Zscaler otkriva da napadači za širenje ransomwarea koriste emailove. Emailovi sadrže zaražene Word dokumente koji izgledaju kao računi, skenirani dokumenti i biografije, koji inficiraju uređaj JasperLoader downloaderom.

Malver kreira prečicu WindowsIndexingService.lnk u Windows startup folderu. Pored toga, kreira planirani zadatak koji se zove WindowsApplicationService. I prečica i planirani zadatak pokreću zlonamernu skriptu WindowsIndexingService.vbs.

Pre nego što započne šifrovanje fajlova FTCode će potražiti w00log03.tmp fajl i ako ga ne nađe, generisaće enkripcijski ključ koji šalje serveru koji je pod kontrolom napadača. Ključ tada može biti “uhvaćen” i zatim kasnije iskorišćen sa dekripterom koji je srećom dostupan.

U sledećoj fazi ransomware briše Shadow Volume kopije i Windows rezervne kopije zbog čega je vraćanje fajlova posle toga nemoguće bez plaćanja otkupnine od 500 dolara koliko traže napadači.

Ransomware šifruje niz fajlova i ubacuje poruku o otkupnini „READ_ME_NOW.htm“ u root folder.

Korisnici se upućuju da preuzmu TOR pregledač i otvore link za stranicu na kojoj treba da plate ključ za dešifrovanje koji im omogućava da dešifruju svoje fajlove.

FTCode dodaje svakom šifrovanom fajlu ekstenziju .FTCODE, i „READ_ME_NOW.htm“ fajl u svaki folder.

Pored šifrovanja fajlova, ransomware takođe krade lozinke iz najpopularnijih pregledača i email klijenata, uključujući Internet Explorer, Mozilla Firefox, Google Chrome, Mozilla Thunderbird i Microsoft Outlook. Ransomware može skenirati podrazumevane lokacije na kojima ove aplikacije čuvaju poverljive podatke, izvlači ih i šalje C&C serveru.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Microsoft upozorio na malver LemonDuck koji inficira i Windows i Linux

Microsoft upozorio na malver LemonDuck koji inficira i Windows i Linux

LemonDuck je prvi put otkriven u Kini 2019. godine kao botnet koji je inficirane sisteme koristio za rudarenje kriptovalute Monero. Međutim, on je u ... Dalje

Novi malver koji krade podatke za prijavu na Facebook nalog, uspešno izbegava skeniranje Windows Defendera

Novi malver koji krade podatke za prijavu na Facebook nalog, uspešno izbegava skeniranje Windows Defendera

Novi malver za Windows, nazvan MosaicLoader, širi se po celom svetu, kao platforma za isporuku malvera koja se koristi za infekciju računara žrtava... Dalje

Malver u piratskim igrama isključuje Windows Defender, Windows Update i brojne antiviruse

Malver u piratskim igrama isključuje Windows Defender, Windows Update i brojne antiviruse

Istraživači kompanije Avast upozorili su na piratske verzije popularnih igara u koje je ubačen malver Crackonosh. Crackonosh nije novi malver. On j... Dalje

Čudni malver sprečava zaražene da posećuju piratske sajtove

Čudni malver sprečava zaražene da posećuju piratske sajtove

Sajber kriminalci često koriste piratski softver za širenje malvera inficirajući one koji misle da preuzimaju najnoviju igru ili film. Međutim, is... Dalje

Microsoft upozorio na lažni ransomware StrRAT

Microsoft upozorio na lažni ransomware StrRAT

Microsoft je na Twitteru upozorio korisnike na malver StrRAT koji krade lozinke sa zaraženog sistema, ali zanimljivo je da pored toga malver nazivima... Dalje