Pratite nas preko RSS-aNovi ransomware Knight krije se u mejlovima Tripadvisora
Opisi virusa, 15.08.2023, 09:00 AM
Ransomwareu Cyclops, koji se pojavio u maju ove godine, krajem jula je promenjeno ime u Knight ransomware. Pod tim nazivom ransomware se sada distribuira u okviru nove spam kampanje a potencijalnim žrtvama se šalju imejlovi koji izgledaju kao pritužbe TripAdvisoru.
Kada se Cyclops pojavio pre skoro tri meseca, operateri su počeli da regrutuju partnere za novi ransomware-as-a-service (RaaS) na hakerskom forumu RAMP.
Ponuđeni su enkriptori za Windows, macOS i Linux/ESXi. Operateri nude podružnicama i malver za krađu podataka za Windows i Linux, što se inače ne viđa u RaaS operacijama.
Pored “normalnih” enkriptora, operateri nude “lite” verziju za upotrebu u kampanjama masovne distribucije neželjene pošte koje ciljaju veliki broj korisnika. Ova verzija zahteva fiksni iznos otkupnine, tako da pregovora o visini otkupnine sa žrtvama nema.
Osim što su promenili ime ransomwarea, sajber-kriminalci su promenili i sajt za objavljivanje podataka ukradenih od žrtava. Trenutno nema navedenih žrtava niti ukradenih fajlova na sajtu Knight ransomwarea.
Mejlovi kojima se distribuira ransomware sadrže ZIP fajl pod nazivom „TripAdvisorComplaint.zip“ koji sadrži izvršni fajl pod nazivom „TripAdvisor Complaint - Possible Suspension.exe“. Novija verzija ove kampanje umesto ZIP fajla uključuje HTML fajl.
Kada šifruje fajlove, Knight će nazivima šifrovanih fajlova dodati ekstenziju .knight_l, gde “l” verovatno znači “lite”.
Ransomware će ostaviti obaveštenje o otkupnini sa instrukcijama kako da vratite svoje fajlove. U ovoj najnovijoj kampanji od žrtava se zahteva da 5.000 dolara pošalju na navedenu Bitcoin adresu, a obaveštenje u txt fajlu sadrži link do Knight Tor sajta.
Zanimljivo je da je u svakoj poruci o otkupnini u ovoj kampanji ista Bitcoin adresa, što znači da napadači ne mogu da znaju koja je žrtva platila otkup. Na sajtu nema panela za pregovore. Umesto toga, prikazuje se poruka u kojoj se navodi da žrtve treba da plate otkupninu i da tada kontaktiraju napadače na [email protected].
U ovom trenutku nije poznato da li bi plaćanje otkupnine rezultiralo dešifrovanjem fajlova. Zato se žrtvama preporučuje da se uzdrže od plaćanja otkupnine, jer postoji velika šansa da neće dobiti dešifrator.
Izdvojeno
U toku je operacija čišćenja hiljade računara od malvera PlugX
Uoči Olimpijade, francuske vlasti čine sve da sa zaraženih uređaja u zemlji uklone malver PlugX koji se koristi za špijunažu. Operaciju sprovodi... Dalje
Malver FakeBat se širi preko Google oglasa, lažnih ažuriranja pretraživača i društvenih mreža
.jpg)
Malver FakeBat, takođe poznat i pod imenima EugenLoader i PaykLoader, je trenutno jedan od najrasprostranjenijih malvera iz grupe tzv. „loadera... Dalje
Malver StrelaStealer krade lozinke iz Mozilla Thunderbirda i Outlooka
Tim za istraživanje pretnji SonicWall Capture Labsa upozorava na napade u kojima se koristi malver StrelaStealer koji krade lozinke. Zanimljivo je da... Dalje
Novi malver ''Poseidon'' inficira Mac računare preko lažnih Google oglasa
.jpg)
Istraživači iz Malwarebytes Laba upozorili su na novu kampanju koju je njen kreator nazvao „Posejdon“, čije su mete korisnici Mac raču... Dalje
Hakovani sajtovi inficiraju posetioce novim Windows backdoorom BadSpace
Hakovani veb sajtovi se koriste za isporuku Windows backdoora pod nazivom BadSpace pod maskom lažnih ažuriranja pretraživača. Napadači koriste &b... Dalje
Pratite nas
Nagrade
Prijatelji
