Nova verzija ransomwarea FTCode krade lozinke iz Chromea i Firefoxa

Opisi virusa, 22.01.2020, 02:30 AM

Istraživači kompanije Zscaler otkrili su novu verziju FTCode ransomwarea, koja je detektovana kao 1117.1, za koju kažu da može da krade lozinke.

FTCode je ransomware koga su prvi primetili istraživači kompanije Sophos još 2013. godine, a malver se ponovo pojavio krajem septembra prošle godine u spam emailovima koji su stizali na email adrese italijanskih korisnika.

Analiza koju je sproveo tim ThreatLabZa kompanije Zscaler otkriva da napadači za širenje ransomwarea koriste emailove. Emailovi sadrže zaražene Word dokumente koji izgledaju kao računi, skenirani dokumenti i biografije, koji inficiraju uređaj JasperLoader downloaderom.

Malver kreira prečicu WindowsIndexingService.lnk u Windows startup folderu. Pored toga, kreira planirani zadatak koji se zove WindowsApplicationService. I prečica i planirani zadatak pokreću zlonamernu skriptu WindowsIndexingService.vbs.

Pre nego što započne šifrovanje fajlova FTCode će potražiti w00log03.tmp fajl i ako ga ne nađe, generisaće enkripcijski ključ koji šalje serveru koji je pod kontrolom napadača. Ključ tada može biti “uhvaćen” i zatim kasnije iskorišćen sa dekripterom koji je srećom dostupan.

U sledećoj fazi ransomware briše Shadow Volume kopije i Windows rezervne kopije zbog čega je vraćanje fajlova posle toga nemoguće bez plaćanja otkupnine od 500 dolara koliko traže napadači.

Ransomware šifruje niz fajlova i ubacuje poruku o otkupnini „READ_ME_NOW.htm“ u root folder.

Korisnici se upućuju da preuzmu TOR pregledač i otvore link za stranicu na kojoj treba da plate ključ za dešifrovanje koji im omogućava da dešifruju svoje fajlove.

FTCode dodaje svakom šifrovanom fajlu ekstenziju .FTCODE, i „READ_ME_NOW.htm“ fajl u svaki folder.

Pored šifrovanja fajlova, ransomware takođe krade lozinke iz najpopularnijih pregledača i email klijenata, uključujući Internet Explorer, Mozilla Firefox, Google Chrome, Mozilla Thunderbird i Microsoft Outlook. Ransomware može skenirati podrazumevane lokacije na kojima ove aplikacije čuvaju poverljive podatke, izvlači ih i šalje C&C serveru.