Novi ransomware CryptXXX je potomak Revetona, iza koga stoje iskusni i vešti sajber kriminalci

Opisi virusa, 26.04.2016, 01:00 AM

Novi ransomware CryptXXX je potomak Revetona, iza koga stoje iskusni i vešti sajber kriminalci

Istraživači kompanije Proofpoint nedavno su otkrili nepoznati ransomware koji se krajem prošlog meseca počeo širiti pomoću malvera Bedep, koji inficira računare pomoću exploit alata Angler.

Istraživači Proofpointa kažu da je ovaj ransomware, koji je nazvan CryptXXX, projekat iste grupe koja je distribuirala ransomware Reveton koji se takođe širio pomoću exploit alata Angler i malvera Bedep.

Do infekcije računara dolazi na web stranicama koje hostuju exploit alat Angler koji koristi ranjivosti na sistemima žrtava što rezultira infekcijom računara malverom Bedep koji, u drugoj fazi infekcije, osim ransomwarea preuzima i malver Dridex 222.

Ransomware se preuzima kao DLL i smešta u neki od foldera kao štp je C:Users%Username%AppDataLocalTemp{C3F31E62-344D-4056-BF01-BF77B94E0254}api-ms-win-system-softpub-l1-1-0.dll ili C:Users%Username%AppDataLocalTemp{D075E5D0-4442-4108-850E-3AD2874B270C} api-ms-win-system-provsvc-l1-1-0.dll. Pokretanje ransomwarea se odlaže na neko vreme (u slučaju koji su analizirali istraživači Proofpointa pokretanje je odloženo za 62 minuta). Razlog za odlaganje je pokušaj da se sakrije od žrtve sa kog sajta je došla infekcija.

Posle pokretanja, ransomware šifruje fajlove na inficiranom sistemu dodajući ekstenziju .crypt nazivu svakog šifrovanog fajla.

Da bi žrtvi stavio do znanja da joj je sistem inficiran a fajlovi šifrovani, CryptXXX kreira tri fajla - de_crypt_readme.bmp, de_crypt_readme.txt, de_crypt_readme.html. Ovi fajlovi sadrže obaveštenje za žrtvu o tome da je sistem kompromitivan i da, ukloliko želi da vrati fajlove u prvobitno stanje, mora da plati 500 dolara. To je znatno više od onoga koliko ransomwarei najčešće traže.

CryptXXX nastoji da ne bude otkriven što duguje funkcijama koje ga štite od okruženja virtuelne mašine i analize istraživača.

Osim što šifruje fajlove, CryptXXX može da krade i Bitcoine, ali i korisnička imena i lozinke, kao i druge lične informacije žrtve.

Istraživači kompanije Trend Micro otkrili su da malver može da krade podatke iz aplikacija za razmenu poruka i slanje emailova. U ovoj kompaniji kažu da to nije neočekivano, jer malver Bedep ima dugu istoriju inficiranja sistema malverima koji kradu informacije. To je bio slučaj i sa malverom Pony kojim je Bedep inficirao računare počev od novembra 2014., do decembra 2015. Pony je zamenjen nepoznatim malverom koji je radio isto što i Pony - krao informacije. To se dešavalo do sredine marta ove godine. U Trend Micro su uvereni da su funkcije koje ransomwareu CryptXXX omogućavaju krađu informacija iste one koje je imao i malver koji je distribuiran do sredine prošlog meseca.

Iako su istraga i analiza ransomwarea CryptXXX još uvek u toku, istraživači koji su otkrili ovaj malver upozoravaju da on ima veliki potencijal za širenje. Drugi ransomwarei koji su se pojavili u skorije vreme ne mogu se porediti sa ovim, jer iza njih ne stoje iskusni i stručni sajber kriminalci kao što je to slučaj sa autorima CryptXXX, zbog čega on nikako ne može biti samo prolazna opasnost.

Stručnjaci strahuju da bi CryptXXX mogao da postane veoma raširena pojava. Osim toga, on se širi uz pomoć Anglera koji je u ovom trenutku vodeći exploit alat.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Iza lažnih Google oglasa za Homebrew krije se malver za macOS

Iza lažnih Google oglasa za Homebrew krije se malver za macOS

Programer Rajan Čenki primetio je Google oglasnu kampanju putem koje se širi malver koji inficira Mac računare. Čenki je na X-u upozorio kolege pr... Dalje

Nova ''nevidljiva'' verzija opasnog malvera Banshee Stealer ugrožava milione korisnika macOS-a

Nova ''nevidljiva'' verzija opasnog malvera Banshee Stealer ugrožava milione korisnika macOS-a

Istraživači sajber bezbednosti iz kompanije Check Point otkrili su novu verziju malvera za krađu podataka za macOS pod nazivom Banshee Stealer, za ... Dalje

Nevidljivi špijun: Remcos RAT

Nevidljivi špijun: Remcos RAT

Stručnjaci za sajber bezbednost upozoravaju na nagli porast sajber napada u kojima se koristi Remcos, trojanac za daljinski pristup (RAT). Malver, ko... Dalje

Popularna platforma se zloupotrebljava za širenje malvera

Popularna platforma se zloupotrebljava za širenje malvera

Godot Engine, popularna platforma za razvoj igara koja omogućava korisnicima da dizajniraju 2D i 3D igre na različitim platformama, uključujući ... Dalje

Hakeri koriste Excel fajlove za širenje opasnog trojanca Remcos RAT

Hakeri koriste Excel fajlove za širenje opasnog trojanca Remcos RAT

Istraživači sajber bezbednosti FortiGuard Labsa otkrili su opasnu phishing kampanju koja distribuira novu varijantu malvera Remcos RAT (Remote Acces... Dalje