Nova verzija ransomwarea FTCode krade lozinke iz Chromea i Firefoxa

Opisi virusa, 22.01.2020, 02:30 AM

Nova verzija ransomwarea FTCode krade lozinke iz Chromea i Firefoxa

Istraživači kompanije Zscaler otkrili su novu verziju FTCode ransomwarea, koja je detektovana kao 1117.1, za koju kažu da može da krade lozinke.

FTCode je ransomware koga su prvi primetili istraživači kompanije Sophos još 2013. godine, a malver se ponovo pojavio krajem septembra prošle godine u spam emailovima koji su stizali na email adrese italijanskih korisnika.

Analiza koju je sproveo tim ThreatLabZa kompanije Zscaler otkriva da napadači za širenje ransomwarea koriste emailove. Emailovi sadrže zaražene Word dokumente koji izgledaju kao računi, skenirani dokumenti i biografije, koji inficiraju uređaj JasperLoader downloaderom.

Malver kreira prečicu WindowsIndexingService.lnk u Windows startup folderu. Pored toga, kreira planirani zadatak koji se zove WindowsApplicationService. I prečica i planirani zadatak pokreću zlonamernu skriptu WindowsIndexingService.vbs.

Pre nego što započne šifrovanje fajlova FTCode će potražiti w00log03.tmp fajl i ako ga ne nađe, generisaće enkripcijski ključ koji šalje serveru koji je pod kontrolom napadača. Ključ tada može biti “uhvaćen” i zatim kasnije iskorišćen sa dekripterom koji je srećom dostupan.

U sledećoj fazi ransomware briše Shadow Volume kopije i Windows rezervne kopije zbog čega je vraćanje fajlova posle toga nemoguće bez plaćanja otkupnine od 500 dolara koliko traže napadači.

Ransomware šifruje niz fajlova i ubacuje poruku o otkupnini „READ_ME_NOW.htm“ u root folder.

Korisnici se upućuju da preuzmu TOR pregledač i otvore link za stranicu na kojoj treba da plate ključ za dešifrovanje koji im omogućava da dešifruju svoje fajlove.

FTCode dodaje svakom šifrovanom fajlu ekstenziju .FTCODE, i „READ_ME_NOW.htm“ fajl u svaki folder.

Pored šifrovanja fajlova, ransomware takođe krade lozinke iz najpopularnijih pregledača i email klijenata, uključujući Internet Explorer, Mozilla Firefox, Google Chrome, Mozilla Thunderbird i Microsoft Outlook. Ransomware može skenirati podrazumevane lokacije na kojima ove aplikacije čuvaju poverljive podatke, izvlači ih i šalje C&C serveru.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Trojanci na kopijama popularnih modela Android telefona hakuju WhatsApp naloge

Trojanci na kopijama popularnih modela Android telefona hakuju WhatsApp naloge

Istraživači Doctor Weba upozorili su potencijalne kupce i korisnike jeftinih Android telefona koji su kopije popularnih modela pametnih telefona poz... Dalje

Ekstenzija za Chrome i Edge krade imejlove korisnika Gmail i AOL naloga

Ekstenzija za Chrome i Edge krade imejlove korisnika Gmail i AOL naloga

Hakerska grupa iz Severne Koreje praćena pod nazivom Kimsuky, koristi ranije nikada viđen malver za čitanje i preuzimanje elektronske pošte i pril... Dalje

Novi malver za macOS krade podatke sa zaraženih uređaja

Novi malver za macOS krade podatke sa zaraženih uređaja

Istraživači bezbednosti iz kompanije ESET otkrili su novi backdoor za macOS koji se koristi u ciljanim napadima za krađu osetljivih informacija od ... Dalje

Novi malver YTStealer krade naloge kreatora YouTube sadržaja

Novi malver YTStealer krade naloge kreatora YouTube sadržaja

Istraživači sajber bezbednosti iz Intezera otkrili su novi malver koji krade informacije. Ciljevi malvera su kreatori YouTube sadržaja od kojih pok... Dalje

Opasni malver se širi preko rezultata Google pretrage

Opasni malver se širi preko rezultata Google pretrage

Malver koji krade lozinke, kreditne kartice i kripto novčanike podmeće se žrtvama se kroz rezultate pretrage za piratske kopije CCleaner Pro Window... Dalje