Novi ransomware Hitler briše fajlove na inficiranom računaru

Opisi virusa, 10.08.2016, 08:00 AM

Novi ransomware Hitler briše fajlove na inficiranom računaru

Stručnjak kompanije AVG Jakub Krustek otkrio je novi malver originalnog naziva Hitler Ransomware. Autoru ransomwarea se potkrala greška pa je naziv malvera pogrešno napisan - Hitler Ransonware.

Hitler briše fajlove što govori o tome da je ransomware delo ne naročito veštog programera, i to najverovatnije nekog ko govori nemački.

Ransomware na zaključanom ekranu prikazuje fotografiju Hitlera i tvrdi da su fajlovi šifrovani. Od žrtve ransomware traži da unese kod za 25 evra vrednu Vodafone karticu i tako plati za dešifrovanje fajlova.

Ransomware izgleda kao probna verzija i zapravo ne radi ono što tvrdi da radi - uopšte ne šifruje fajlove. Umesto toga, malver uklanja ekstenzije za sve fajlove u različitim folderima, prikazuje zaključani ekran, i tajmer koji odbrojava 60 minuta.

Pošto ovo vreme istekne, pojavljuje se BSOD (Blue Screen of Death), ransomware restartuje računar, briše sve fajlove u folderu User Profile.

Do infekcije dolazi kada korisnik dva puta klikne na izvršni fajl koji dolazi u paketu sa drugim programima. To će izvršiti batch fajl koji uklanja sve ekstenzije za fajlove u određenim folderima i koji ekstrahuje tri fajla: chrst.exe, ErOne.vbs i firefox32.exe u folderu Temp. Fajl firefox32.exe će biti zatim kopiran u folder Common Startup tako da se on automatski pokreće posle restartovanja.

Zatim se izvršava ErOne.vbs, koji prikazuje grešku: “The file could not be found!” Ovo treba da ubedi korisnika da fajl ima grešku. Chrst.exe je ustvari ransomware, koji prikazuje zaključani ekran sa tajmerom i upozorenjem da će fajlovi biti obrisani u roku od sat vremena.

Kako izgleda napad ransomwarea Hitler pogledajte u videu koji je objavio srpski istraživač GrujaRS.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

FBI upozorio na novi ransomware ProLock koji inficira računare koji su već inficirani bankarskim trojancem

FBI upozorio na novi ransomware ProLock koji inficira računare koji su već inficirani bankarskim trojancem

FBI je izdao upozorenje o novom ransomwareu koji je nazvan ProLock, koji je primećen u napadima na zdravstvene organizacije, državne organe, finansi... Dalje

Novi malver nazvan ''Korona virus'' zaključava Windows

Novi malver nazvan ''Korona virus'' zaključava Windows

Budući da su škole zatvorene zbog pandemije, neka deca se zabavljaju pravljenjem malvera. Takav je slučaj sa različitim novim verzijama MBRLocker... Dalje

Malver TrickBot zaobilazi dvofaktornu zaštitu banaka novom Android aplikacijom TrickMo

Malver TrickBot zaobilazi dvofaktornu zaštitu banaka novom Android aplikacijom TrickMo

Sajber-kriminalci koji stoje iza malvera TrickBot koriste Aandroid aplikaciju koju su napravili da bi zaobišli dvofaktornu (2FA) zaštitu koju korist... Dalje

Novi ransomware se zove CoronaVirus, ali on nije najgore što se može desiti vašem računaru

Novi ransomware se zove CoronaVirus, ali on nije najgore što se može desiti vašem računaru

Nova ransomware nazvan CoronaVirus širi se preko lažnog web sajta koji reklamira softver za optimizaciju sistema i druge programe WiseCleanera. Sajb... Dalje

Android malver Cerberus sada može da krade kodove za 2FA iz Google Authenticatora i daljinski otključava uređaj

Android malver Cerberus sada može da krade kodove za 2FA iz Google Authenticatora i daljinski otključava uređaj

Bankarski trojanac Cerberus je nadograđen i sada može da krade kodove Google Authenticatora za dvofaktornu autentifikaciju (2FA) koja se koristi kao... Dalje