Novi kripto-ransomware Crypt0L0cker izbegava američke korisnike i neke fajlove

Opisi virusa, 05.05.2015, 07:30 AM

Novi kripto-ransomware Crypt0L0cker izbegava američke korisnike i neke fajlove

Uspeh kripto-ransomwarea CryptoLocker očigledno je za sajber kriminalce bio signal da ova vrsta malvera može biti veoma unosan poslovni model. Posle toga smo bili smo svedoci pojave brojnih novih kripto-ranosmwarea, a najnoviji malver ove vrste koji je privukao pažnju je nazvan Crypt0L0cker.

Osim naziva u kome je slovo “o” zamenjeno nulom, Crypt0L0cker nema mnogo toga zajedničko sa CryptoLockerom. Kada je otkriven krajem aprila, mislilo se da je reč o novoj verziji kripto-ranosmwarea TorrentLocker.

Ipak, ono po čemu se ovaj malver razlikuje od TorrentLockera je da striktno izbegava napade na američke korisnike, kao i to što ima hardkodovanu listu fajlova koje ne treba da šifruje.

Novi ranosmware se trenutno širi putem emailova koji su predstavljeni kao obaveštenja o saobraćajnim prekršajima ili druga obaveštenja državnih institucija, a malver napada korisnike u Evropi, Aziji i Australiji.

Kada se instalira, Cryp0L0cker se povezuje sa komandno-kontrolnim serverom (C&C server) i šalje jedinistveni identifikator žrtve, kao i ID kampanje. C&C server tada šalje malveru HTML obaveštenje o otkupu i naziv pod kojim fajl treba da bude sačuvan. Trenutni naziv tog fajla je DECRYPT_INSTRUCTIONS.html a tekstualna verzija nosi naziv DECRYPT_INSTRUCTIONS.txt.

Malver tada skenira hard disk i šifruje sve fajlove koji nemaju sledeće ekstenzije: avi, wav, mp3, gif, ico, png, bmp, txt, html, inf, manifest, chm, ini, tmp, log, url, lnk, cmd, bat, scr, msi, sys, dll, exe. Kada šifruje fajl, malver nazvu fajla dodaje ekstenziju .encrypted.

Dok to radi, malver istovremeno briše Shadow Volume Copies fajlova tako da ih korisnik ne može povratiti.

Kada završi sa šifrovanjem, malver prikazuje obaveštenje o otkupu koje će se naći u svakom folderu na računaru. Crypt0L0cker se pokreće svaki put prilikom prijavljivanja na Windows.

Cryp0L0cker trenutno od žrtava traži 2,2 bitcoina (oko 450 evra). Obaveštenja o otkupu sadrže personalizovane linkove za sajt Buy Decryption na kome je moguće obaviti plaćanje. Ovi linkovi sadrže ID korisnika i lozinku tako da samo žrtva može pristupiti svojim informacijama. Po svemu ovome, Crypt0L0cker podseća na TorrentLocker.

Za sada ne postoji rešenje za besplatno dešifrovanje fajlova koje je Cryp0L0cker šifrovao. Jedini način da se fajlovi povrate je iz backupa ako postoji.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi, opasni trojanac koji krade lozinke širi se preko YouTube-a

Novi, opasni trojanac koji krade lozinke širi se preko YouTube-a

Istraživači bezbednosti iz CYFIRMA otkrili su novi malver nazvan Neptun RAT koji inficira Windows uređaje i krade lozinke. Malver koga bezbednosni ... Dalje

Novi malver koji krade lozinke širi se preko YouTube-a

Novi malver koji krade lozinke širi se preko YouTube-a

Novootkriveni malver za krađu informacija pod nazivom Arcane Stealer krade mnoštvo korisničkih podataka, uključujući podatke za prijavljivanje z... Dalje

Novi malver MassJacker krije se u piratskom softveru

Novi malver MassJacker krije se u piratskom softveru

Korisnici koji traže piratski softver mete su napada koji rezultiraju infekcijom novim malverom pod nazivom MassJacker. Prema nalazima kompanije Cybe... Dalje

Hakeri koriste Google Docs i Steam za kontrolu malvera koji kradu lozinke

Hakeri koriste Google Docs i Steam za kontrolu malvera koji kradu lozinke

Google Docs i druge pouzdane platforme se koriste za skrivenu kontrolu malvera koji kradu, lozinke, logove ćaskanja i osetljive podatke (infostealer... Dalje

BlackLock je nova opasna ransomware banda

BlackLock je nova opasna ransomware banda

Istraživači iz kompanije za sajber bezbednost Reliaqest upozoravaju na ekstremno opasnu ransomware bandu BlackLock koja se pojavila u martu prošle ... Dalje