Novi ransomware CryptXXX je potomak Revetona, iza koga stoje iskusni i vešti sajber kriminalci

Opisi virusa, 26.04.2016, 01:00 AM

Novi ransomware CryptXXX je potomak Revetona, iza koga stoje iskusni i vešti sajber kriminalci

Istraživači kompanije Proofpoint nedavno su otkrili nepoznati ransomware koji se krajem prošlog meseca počeo širiti pomoću malvera Bedep, koji inficira računare pomoću exploit alata Angler.

Istraživači Proofpointa kažu da je ovaj ransomware, koji je nazvan CryptXXX, projekat iste grupe koja je distribuirala ransomware Reveton koji se takođe širio pomoću exploit alata Angler i malvera Bedep.

Do infekcije računara dolazi na web stranicama koje hostuju exploit alat Angler koji koristi ranjivosti na sistemima žrtava što rezultira infekcijom računara malverom Bedep koji, u drugoj fazi infekcije, osim ransomwarea preuzima i malver Dridex 222.

Ransomware se preuzima kao DLL i smešta u neki od foldera kao štp je C:Users%Username%AppDataLocalTemp{C3F31E62-344D-4056-BF01-BF77B94E0254}api-ms-win-system-softpub-l1-1-0.dll ili C:Users%Username%AppDataLocalTemp{D075E5D0-4442-4108-850E-3AD2874B270C} api-ms-win-system-provsvc-l1-1-0.dll. Pokretanje ransomwarea se odlaže na neko vreme (u slučaju koji su analizirali istraživači Proofpointa pokretanje je odloženo za 62 minuta). Razlog za odlaganje je pokušaj da se sakrije od žrtve sa kog sajta je došla infekcija.

Posle pokretanja, ransomware šifruje fajlove na inficiranom sistemu dodajući ekstenziju .crypt nazivu svakog šifrovanog fajla.

Da bi žrtvi stavio do znanja da joj je sistem inficiran a fajlovi šifrovani, CryptXXX kreira tri fajla - de_crypt_readme.bmp, de_crypt_readme.txt, de_crypt_readme.html. Ovi fajlovi sadrže obaveštenje za žrtvu o tome da je sistem kompromitivan i da, ukloliko želi da vrati fajlove u prvobitno stanje, mora da plati 500 dolara. To je znatno više od onoga koliko ransomwarei najčešće traže.

CryptXXX nastoji da ne bude otkriven što duguje funkcijama koje ga štite od okruženja virtuelne mašine i analize istraživača.

Osim što šifruje fajlove, CryptXXX može da krade i Bitcoine, ali i korisnička imena i lozinke, kao i druge lične informacije žrtve.

Istraživači kompanije Trend Micro otkrili su da malver može da krade podatke iz aplikacija za razmenu poruka i slanje emailova. U ovoj kompaniji kažu da to nije neočekivano, jer malver Bedep ima dugu istoriju inficiranja sistema malverima koji kradu informacije. To je bio slučaj i sa malverom Pony kojim je Bedep inficirao računare počev od novembra 2014., do decembra 2015. Pony je zamenjen nepoznatim malverom koji je radio isto što i Pony - krao informacije. To se dešavalo do sredine marta ove godine. U Trend Micro su uvereni da su funkcije koje ransomwareu CryptXXX omogućavaju krađu informacija iste one koje je imao i malver koji je distribuiran do sredine prošlog meseca.

Iako su istraga i analiza ransomwarea CryptXXX još uvek u toku, istraživači koji su otkrili ovaj malver upozoravaju da on ima veliki potencijal za širenje. Drugi ransomwarei koji su se pojavili u skorije vreme ne mogu se porediti sa ovim, jer iza njih ne stoje iskusni i stručni sajber kriminalci kao što je to slučaj sa autorima CryptXXX, zbog čega on nikako ne može biti samo prolazna opasnost.

Stručnjaci strahuju da bi CryptXXX mogao da postane veoma raširena pojava. Osim toga, on se širi uz pomoć Anglera koji je u ovom trenutku vodeći exploit alat.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi trojanac ToxicEye koristi aplikaciju Telegram za špijuniranje i krađu podataka korisnika

Novi trojanac ToxicEye koristi aplikaciju Telegram za špijuniranje i krađu podataka korisnika

Sajber kriminalci sve češće zloupotrebljavaju Telegram za kontrolu i upravljanje malverima i krađu informacija sa ciljanih sistema. ToxicEye je no... Dalje

Sajber kriminalci koriste kontakt forme na veb sajtovima za širenje trojanca IcedID

Sajber kriminalci koriste kontakt forme na veb sajtovima za širenje trojanca IcedID

Istraživači iz kompanije Microsoft upozorili su na novu fišing kampanju u kojoj napadači koriste obrasce za kontakt (“Kontaktirajte nas&rdqu... Dalje

Novi malver CopperStealer krade Google, Facebook i Apple naloge

Novi malver CopperStealer krade Google, Facebook i Apple naloge

Istraživači kompanije Proofpoint otkrili su malver koji se distribuira preko sajtova na kojima se nudi nelegalni piratski softver, a koji cilja kori... Dalje

30000 Mac računara inficirano novim malverom Silver Sparrow

30000 Mac računara inficirano novim malverom Silver Sparrow

Novi malver Silver Sparrow inficirao je 30000 Mac računara. Malver su otkrili istraživači iz firme Red Canary koji su ga analizirali zajedno sa ist... Dalje

Otkriven prvi malver koji napada isključivo Appleov novi M1 čip

Otkriven prvi malver koji napada isključivo Appleov novi M1 čip

Bivši istraživač NSA Patrik Vordl otkrio je malver koji je dizajniran za napade na računare sa Appleovim novim M1 čipom, koji se koristi na najno... Dalje