Novi kripto-ransomware Crypt0L0cker izbegava američke korisnike i neke fajlove

Opisi virusa, 05.05.2015, 07:30 AM

Novi kripto-ransomware Crypt0L0cker izbegava američke korisnike i neke fajlove

Uspeh kripto-ransomwarea CryptoLocker očigledno je za sajber kriminalce bio signal da ova vrsta malvera može biti veoma unosan poslovni model. Posle toga smo bili smo svedoci pojave brojnih novih kripto-ranosmwarea, a najnoviji malver ove vrste koji je privukao pažnju je nazvan Crypt0L0cker.

Osim naziva u kome je slovo “o” zamenjeno nulom, Crypt0L0cker nema mnogo toga zajedničko sa CryptoLockerom. Kada je otkriven krajem aprila, mislilo se da je reč o novoj verziji kripto-ranosmwarea TorrentLocker.

Ipak, ono po čemu se ovaj malver razlikuje od TorrentLockera je da striktno izbegava napade na američke korisnike, kao i to što ima hardkodovanu listu fajlova koje ne treba da šifruje.

Novi ranosmware se trenutno širi putem emailova koji su predstavljeni kao obaveštenja o saobraćajnim prekršajima ili druga obaveštenja državnih institucija, a malver napada korisnike u Evropi, Aziji i Australiji.

Kada se instalira, Cryp0L0cker se povezuje sa komandno-kontrolnim serverom (C&C server) i šalje jedinistveni identifikator žrtve, kao i ID kampanje. C&C server tada šalje malveru HTML obaveštenje o otkupu i naziv pod kojim fajl treba da bude sačuvan. Trenutni naziv tog fajla je DECRYPT_INSTRUCTIONS.html a tekstualna verzija nosi naziv DECRYPT_INSTRUCTIONS.txt.

Malver tada skenira hard disk i šifruje sve fajlove koji nemaju sledeće ekstenzije: avi, wav, mp3, gif, ico, png, bmp, txt, html, inf, manifest, chm, ini, tmp, log, url, lnk, cmd, bat, scr, msi, sys, dll, exe. Kada šifruje fajl, malver nazvu fajla dodaje ekstenziju .encrypted.

Dok to radi, malver istovremeno briše Shadow Volume Copies fajlova tako da ih korisnik ne može povratiti.

Kada završi sa šifrovanjem, malver prikazuje obaveštenje o otkupu koje će se naći u svakom folderu na računaru. Crypt0L0cker se pokreće svaki put prilikom prijavljivanja na Windows.

Cryp0L0cker trenutno od žrtava traži 2,2 bitcoina (oko 450 evra). Obaveštenja o otkupu sadrže personalizovane linkove za sajt Buy Decryption na kome je moguće obaviti plaćanje. Ovi linkovi sadrže ID korisnika i lozinku tako da samo žrtva može pristupiti svojim informacijama. Po svemu ovome, Crypt0L0cker podseća na TorrentLocker.

Za sada ne postoji rešenje za besplatno dešifrovanje fajlova koje je Cryp0L0cker šifrovao. Jedini način da se fajlovi povrate je iz backupa ako postoji.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Malver TrickBot greškom upozorava žrtve da su zaražene

Malver TrickBot greškom upozorava žrtve da su zaražene

Zloglasni malver TrickBot greškom upozorava žrtve da su zaražene i da treba da se obrate svom administratoru. TrickBot se najčešće širi preko ... Dalje

Za žrtve ransomwarea EvilQuest koji šifruje i krade fajlove sa macOS postoji besplatno rešenje

Za žrtve ransomwarea EvilQuest koji šifruje i krade fajlove sa macOS postoji besplatno rešenje

Loš kod ransomwarea ThiefQuest, koji isključivo inficira macOS uređaje, omogućava vraćanje šifrovanih fajlova, koji bi, da autori malvera nisu ... Dalje

Otkriven novi ransomware koji isključivo inficira macOS

Otkriven novi ransomware koji isključivo inficira macOS

Novi ransomware nazvan OSX.EvilQuest, otkriven ove nedelje, inficira isključivo macOS uređaje. Ono po čemu se razlikuje od drugih ransomwarea za ma... Dalje

Ransomware Sodinokibi (REvil) ima novu taktiku za izvlačenje novca od žrtava

Ransomware Sodinokibi (REvil) ima novu taktiku za izvlačenje novca od žrtava

Grupa koja stoji iza jednog od najuspešnijih ransomwarea sada skenira mreže kompanija kako bi pronašla podatke o platnim karticama, plaćanjima i s... Dalje

Sajber-kriminalci manipulišu Google pretragom da bi širili novi malver za Mac

Sajber-kriminalci manipulišu Google pretragom da bi širili novi malver za Mac

Većina korisnika prilikom pretraživanja interneta je svesna da postoje zlonamerni sajtovi na kojima treba biti oprezan. Ali, za pretraživače Goog... Dalje