Novi kripto-ransomware Crypt0L0cker izbegava američke korisnike i neke fajlove
Opisi virusa, 05.05.2015, 07:30 AM

Uspeh kripto-ransomwarea CryptoLocker očigledno je za sajber kriminalce bio signal da ova vrsta malvera može biti veoma unosan poslovni model. Posle toga smo bili smo svedoci pojave brojnih novih kripto-ranosmwarea, a najnoviji malver ove vrste koji je privukao pažnju je nazvan Crypt0L0cker.
Osim naziva u kome je slovo “o” zamenjeno nulom, Crypt0L0cker nema mnogo toga zajedničko sa CryptoLockerom. Kada je otkriven krajem aprila, mislilo se da je reč o novoj verziji kripto-ranosmwarea TorrentLocker.
Ipak, ono po čemu se ovaj malver razlikuje od TorrentLockera je da striktno izbegava napade na američke korisnike, kao i to što ima hardkodovanu listu fajlova koje ne treba da šifruje.
Novi ranosmware se trenutno širi putem emailova koji su predstavljeni kao obaveštenja o saobraćajnim prekršajima ili druga obaveštenja državnih institucija, a malver napada korisnike u Evropi, Aziji i Australiji.
Kada se instalira, Cryp0L0cker se povezuje sa komandno-kontrolnim serverom (C&C server) i šalje jedinistveni identifikator žrtve, kao i ID kampanje. C&C server tada šalje malveru HTML obaveštenje o otkupu i naziv pod kojim fajl treba da bude sačuvan. Trenutni naziv tog fajla je DECRYPT_INSTRUCTIONS.html a tekstualna verzija nosi naziv DECRYPT_INSTRUCTIONS.txt.
Malver tada skenira hard disk i šifruje sve fajlove koji nemaju sledeće ekstenzije: avi, wav, mp3, gif, ico, png, bmp, txt, html, inf, manifest, chm, ini, tmp, log, url, lnk, cmd, bat, scr, msi, sys, dll, exe. Kada šifruje fajl, malver nazvu fajla dodaje ekstenziju .encrypted.
Dok to radi, malver istovremeno briše Shadow Volume Copies fajlova tako da ih korisnik ne može povratiti.
Kada završi sa šifrovanjem, malver prikazuje obaveštenje o otkupu koje će se naći u svakom folderu na računaru. Crypt0L0cker se pokreće svaki put prilikom prijavljivanja na Windows.
Cryp0L0cker trenutno od žrtava traži 2,2 bitcoina (oko 450 evra). Obaveštenja o otkupu sadrže personalizovane linkove za sajt Buy Decryption na kome je moguće obaviti plaćanje. Ovi linkovi sadrže ID korisnika i lozinku tako da samo žrtva može pristupiti svojim informacijama. Po svemu ovome, Crypt0L0cker podseća na TorrentLocker.
Za sada ne postoji rešenje za besplatno dešifrovanje fajlova koje je Cryp0L0cker šifrovao. Jedini način da se fajlovi povrate je iz backupa ako postoji.

Izdvojeno
Novi, opasni trojanac koji krade lozinke širi se preko YouTube-a
.jpg)
Istraživači bezbednosti iz CYFIRMA otkrili su novi malver nazvan Neptun RAT koji inficira Windows uređaje i krade lozinke. Malver koga bezbednosni ... Dalje
Novi malver koji krade lozinke širi se preko YouTube-a
.jpg)
Novootkriveni malver za krađu informacija pod nazivom Arcane Stealer krade mnoštvo korisničkih podataka, uključujući podatke za prijavljivanje z... Dalje
Novi malver MassJacker krije se u piratskom softveru
.jpg)
Korisnici koji traže piratski softver mete su napada koji rezultiraju infekcijom novim malverom pod nazivom MassJacker. Prema nalazima kompanije Cybe... Dalje
Hakeri koriste Google Docs i Steam za kontrolu malvera koji kradu lozinke

Google Docs i druge pouzdane platforme se koriste za skrivenu kontrolu malvera koji kradu, lozinke, logove ćaskanja i osetljive podatke (infostealer... Dalje
BlackLock je nova opasna ransomware banda

Istraživači iz kompanije za sajber bezbednost Reliaqest upozoravaju na ekstremno opasnu ransomware bandu BlackLock koja se pojavila u martu prošle ... Dalje
Pratite nas
Nagrade