Novi ransomware CrypVault šifruje i izoluje fajlove oponašajući antivirus
Opisi virusa, 08.04.2015, 08:30 AM
![Novi ransomware CrypVault šifruje i izoluje fajlove oponašajući antivirus](/thumbs/v1_8038_Crypvault_fig-7.jpg)
Istraživači iz kompanije Trend Micro otkrili su novi kripto-ransomware nazvan CrypVault koji šifruje fajlove, i čini da oni izgledaju kao da ih je izolovao antivirus. Antivirusni softver obično smešta u karantin fajlove koji mogu da prouzorkuju štetu infiicanom sistemu.
Malver zatim traži otkup, da bi na kraju preuzeo malver koji krade informacije.
On dospeva na računare tako što korisnici na prevaru preuzmu i otvore maliciozni email atačment - JavaScript fajl koji preuzima sa svog severa za komandu i kontrolu (C&C server) četiri fajla - sam ranosmware, sDelete (Microsoftov Systeinternal alat koji će biti korišćen za brisanje fajlova a koji malver preimenuje u audiodg.exe), GnuPG (open source kriptografski alat koji će biti preimenovan u svchost.exe) i GnuPG library fajl (malver će ga preimenovati u iconv.dll). Preuzeti fajlovi se čuvaju u %UserTemp% folderu.
Posle pokretanja, malver instalira open source kriptografski alat GNU Private Guard (GnuPG) na zaraženom sistemu, koji započinje proces enkripcije. Ovaj fajl generiše RSA-1024 javni i privatni ključ koji se koriste za šifrovanje i dešifrovanje fajlova.
Malver traži fajlove sa ekstenzijama xls, doc, pdf, rtf, psd, dwg, cdr, cd, mdb, jpg, zip, 1cd, dbf, sqlite. Istovremeno, malver izbegava niz foldera da bi izbegao greške u radu sistema.
Posle šifrovanja, malver će promeniti sve šifrovane fajlove koji sada imaju dodatu *.vault ekstenziju u ikone katanca. Kada se otvori svaki zaključani i šifrovan fajl će prikazati obaveštenje o otkupu.
Detaljnije objašnjenje o tome kako platiti da bi fajlovi bili dešifrovani se prikazuje na desktopu inficiranog sistema.
Imajući u vidu da je obaveštenje o otkupu i sajt za podršku ranosmwareu na ruskom, ciljevi ove kampanje su očigledno korisnici sa ruskog govornog područja.
Malver uz pomoć sDelete briše ključne fajlove, secring.gpg, vaultkey.vlt i confclean.lst. sDelete može da piše preko obrisanih podataka na disku što otežava ili onemogućava oporavak obrisanih fajlova.
Ranosmware takođe preuzima i pokreće Browser Password Dump, hakerski alat koji može da izvlači lozinke sačuvane u brojnim popularnim web browserima (Firefox, IE, Chrome, CoolNovo, Opera, Safari, Flock, SeaMonkey, SRWare Iron, Comodo Dragon) koje šalje C&C serveru koji kontrolišu napadači.
Ransomwarei postaju veliki problem jer važne fajlove korisnika čine beskorisnim primoravajući tako ljude da plate za njihovo dešifrovanje. Ranosmwarea je sve više, pa stručnjaci savetuju korisnicima da redovno prave rezervne kopije svojih važnih fajlova.
![GData](/s3n.jpg)
Izdvojeno
U toku je operacija čišćenja hiljade računara od malvera PlugX
![U toku je operacija čišćenja hiljade računara od malvera PlugX](/thumbs/v1_8836_screenshot-images.unsplash.com-2024.07.png)
Uoči Olimpijade, francuske vlasti čine sve da sa zaraženih uređaja u zemlji uklone malver PlugX koji se koristi za špijunažu. Operaciju sprovodi... Dalje
Malver FakeBat se širi preko Google oglasa, lažnih ažuriranja pretraživača i društvenih mreža
![Malver FakeBat se širi preko Google oglasa, lažnih ažuriranja pretraživača i društvenih mreža](/thumbs/v2_6340_philipp-katzenberger-iIJrUoeRoCQ-unsplash (9).jpg)
Malver FakeBat, takođe poznat i pod imenima EugenLoader i PaykLoader, je trenutno jedan od najrasprostranjenijih malvera iz grupe tzv. „loadera... Dalje
Malver StrelaStealer krade lozinke iz Mozilla Thunderbirda i Outlooka
![Malver StrelaStealer krade lozinke iz Mozilla Thunderbirda i Outlooka](/thumbs/v2_4639_pexels-padrinan-1591062.jpg)
Tim za istraživanje pretnji SonicWall Capture Labsa upozorava na napade u kojima se koristi malver StrelaStealer koji krade lozinke. Zanimljivo je da... Dalje
Novi malver ''Poseidon'' inficira Mac računare preko lažnih Google oglasa
![Novi malver ''Poseidon'' inficira Mac računare preko lažnih Google oglasa](/thumbs/v2_9428_sumudu-mohottige-bIgpii04UIg-unsplash (2).jpg)
Istraživači iz Malwarebytes Laba upozorili su na novu kampanju koju je njen kreator nazvao „Posejdon“, čije su mete korisnici Mac raču... Dalje
Hakovani sajtovi inficiraju posetioce novim Windows backdoorom BadSpace
![Hakovani sajtovi inficiraju posetioce novim Windows backdoorom BadSpace](/thumbs/v1_3266_GDATA_Badspace_InfectionChain.png)
Hakovani veb sajtovi se koriste za isporuku Windows backdoora pod nazivom BadSpace pod maskom lažnih ažuriranja pretraživača. Napadači koriste &b... Dalje
Pratite nas
Nagrade