Novi ransomware CryptXXX je potomak Revetona, iza koga stoje iskusni i vešti sajber kriminalci

Opisi virusa, 26.04.2016, 01:00 AM

Novi ransomware CryptXXX je potomak Revetona, iza koga stoje iskusni i vešti sajber kriminalci

Istraživači kompanije Proofpoint nedavno su otkrili nepoznati ransomware koji se krajem prošlog meseca počeo širiti pomoću malvera Bedep, koji inficira računare pomoću exploit alata Angler.

Istraživači Proofpointa kažu da je ovaj ransomware, koji je nazvan CryptXXX, projekat iste grupe koja je distribuirala ransomware Reveton koji se takođe širio pomoću exploit alata Angler i malvera Bedep.

Do infekcije računara dolazi na web stranicama koje hostuju exploit alat Angler koji koristi ranjivosti na sistemima žrtava što rezultira infekcijom računara malverom Bedep koji, u drugoj fazi infekcije, osim ransomwarea preuzima i malver Dridex 222.

Ransomware se preuzima kao DLL i smešta u neki od foldera kao štp je C:Users%Username%AppDataLocalTemp{C3F31E62-344D-4056-BF01-BF77B94E0254}api-ms-win-system-softpub-l1-1-0.dll ili C:Users%Username%AppDataLocalTemp{D075E5D0-4442-4108-850E-3AD2874B270C} api-ms-win-system-provsvc-l1-1-0.dll. Pokretanje ransomwarea se odlaže na neko vreme (u slučaju koji su analizirali istraživači Proofpointa pokretanje je odloženo za 62 minuta). Razlog za odlaganje je pokušaj da se sakrije od žrtve sa kog sajta je došla infekcija.

Posle pokretanja, ransomware šifruje fajlove na inficiranom sistemu dodajući ekstenziju .crypt nazivu svakog šifrovanog fajla.

Da bi žrtvi stavio do znanja da joj je sistem inficiran a fajlovi šifrovani, CryptXXX kreira tri fajla - de_crypt_readme.bmp, de_crypt_readme.txt, de_crypt_readme.html. Ovi fajlovi sadrže obaveštenje za žrtvu o tome da je sistem kompromitivan i da, ukloliko želi da vrati fajlove u prvobitno stanje, mora da plati 500 dolara. To je znatno više od onoga koliko ransomwarei najčešće traže.

CryptXXX nastoji da ne bude otkriven što duguje funkcijama koje ga štite od okruženja virtuelne mašine i analize istraživača.

Osim što šifruje fajlove, CryptXXX može da krade i Bitcoine, ali i korisnička imena i lozinke, kao i druge lične informacije žrtve.

Istraživači kompanije Trend Micro otkrili su da malver može da krade podatke iz aplikacija za razmenu poruka i slanje emailova. U ovoj kompaniji kažu da to nije neočekivano, jer malver Bedep ima dugu istoriju inficiranja sistema malverima koji kradu informacije. To je bio slučaj i sa malverom Pony kojim je Bedep inficirao računare počev od novembra 2014., do decembra 2015. Pony je zamenjen nepoznatim malverom koji je radio isto što i Pony - krao informacije. To se dešavalo do sredine marta ove godine. U Trend Micro su uvereni da su funkcije koje ransomwareu CryptXXX omogućavaju krađu informacija iste one koje je imao i malver koji je distribuiran do sredine prošlog meseca.

Iako su istraga i analiza ransomwarea CryptXXX još uvek u toku, istraživači koji su otkrili ovaj malver upozoravaju da on ima veliki potencijal za širenje. Drugi ransomwarei koji su se pojavili u skorije vreme ne mogu se porediti sa ovim, jer iza njih ne stoje iskusni i stručni sajber kriminalci kao što je to slučaj sa autorima CryptXXX, zbog čega on nikako ne može biti samo prolazna opasnost.

Stručnjaci strahuju da bi CryptXXX mogao da postane veoma raširena pojava. Osim toga, on se širi uz pomoć Anglera koji je u ovom trenutku vodeći exploit alat.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Kako je malver Inferno Drainer ukrao više od 80 miliona dolara od 136.000 korisnika kriptovaluta

Kako je malver Inferno Drainer ukrao više od 80 miliona dolara od 136.000 korisnika kriptovaluta

Kao što privlači milione ljudi širom sveta, tako svet kriptovaluta privlači i sajber kriminalce koji pokušavaju da iskoriste neiskustvo i neznanj... Dalje

Hakeri koriste grešku u Windows SmartScreen da prevare korisnike da preuzmu malver

Hakeri koriste grešku u Windows SmartScreen da prevare korisnike da preuzmu malver

Phemedrone je novi malver za krađu informacija koji inficira računare koristeći ranjivost Microsoft Defender SmartScreena (CVE-2023-36025). Phemedr... Dalje

Nova varijanta zloglasnog Mirai botneta širi malver za rudarenje kriptovaluta

Nova varijanta zloglasnog Mirai botneta širi malver za rudarenje kriptovaluta

Istraživači sajber bezbednosti iz kompanije Akamai otkrili su novu verziju čuvenog botneta Mirai pod nazivom NoaBot, koja se koristi za distribucij... Dalje

Malver MS Drainer ukrao 59 miliona dolara preko Google oglasa i oglasa na X-u

Malver MS Drainer ukrao 59 miliona dolara preko Google oglasa i oglasa na X-u

Istraživači bezbednosti otkrili su novu seriju napada „crypto drainer” malvera koji je do sada ukrao 59 miliona dolara žrtvama koje su ... Dalje

Novi malver JaskaGO krade informacije sa macOS i Windows sistema

Novi malver JaskaGO krade informacije sa macOS i Windows sistema

Istraživači sajber bezbednosti iz AT&T Alien Labsa otkrili su novi sofisticirani malver pod nazivom JaskaGO, napravljen u programskom jeziku Go ... Dalje