Novi ransomware R980: Ako platite otkup evo zašto morate što pre preuzeti dekripter

Opisi virusa, 15.08.2016, 01:00 AM

Novi ransomware R980: Ako platite otkup evo zašto morate što pre preuzeti dekripter

Kada dođe do infekcije računara ransomwareom, žrtve najčešće imaju dve opcije. Ili im je ostavljena email adresa na koju mogu poslati email i tako stupiti u kontakt sa sajber kriminalcima, ili im ostavljen link za Tor web sajt na kome mogu platiti otkup, preuzeti dekripter, a u nekim slučajevima na takvim sajtovima postoji i prozor za chat preko koga žrtve mogu kontaktirati kriminalce i zatražiti podršku.

U slučaju novootkrivenog ransomwarea R980, u obaveštenju o otkupu nalazi se adresa bitcoin novčanika koju R980 dobija pošto kontaktira svoj komandno-kontrolni server i uputstvo za korisnika kako da plati otkup i dobije dekripter.

Ono po čemu se R980 razlikuje od drugih ransomwarea je upravo način plaćanja i preuzimanja dekriptera.

Prema uputstvu, kada korisnik obavi plaćanje, to će biti automatski detektovano. Da bi zaštitili svoj idetitet, sajber kriminalci koriste raspoložive email adrese zloupotrebljavajući servis Mailinator. Preko istog web sajta, sajber kriminalci kreiraju javne email naloge za žrtve koji se koriste kao mesto sa kojeg žrtve mogu preuzeti alat za dešifrovanje. Ova email adresa navedena je u obaveštenju i jedinstvena je za svakog korisnika.

Korisnici inficiranog računara moraju biti veoma oprezni jer je Mailinator servis koji automatski briše sve emailove posle nekoliko sati.

To znači da kada korisnik plati otkup, mora da proveri Mailinator inboks da bi video da li je dekripter stigao, inače rizikuje da zauvek izgubi i dekripter i sve svoje fajlove.

S obzirom na to da R980 koristi dualni sistem enkripcije baziran na AES-256 i RSA 4096 algoritmima, veoma su male šanse da će stručnjaci moći da naprave besplatni alat za dešifrovanje fajlova. R980 šifruje više od 150 vrsta fajlova i nazivu svakog šifrovanog fala dodaje ekstenziju .crypt. Da ne bude zabune - to je jedina sličnost ovog ransomwarea sa ransomwareom CryptXXX koji koristi istu ekstenziju.

R980 se širi preko spam emailova koji sadrže Office fajlove koji kada se otvore traže od korisnika da omogući macro podršku. To je uslov za infekciju računara ransomwareom R980.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

FBI upozorio na novi ransomware ProLock koji inficira računare koji su već inficirani bankarskim trojancem

FBI upozorio na novi ransomware ProLock koji inficira računare koji su već inficirani bankarskim trojancem

FBI je izdao upozorenje o novom ransomwareu koji je nazvan ProLock, koji je primećen u napadima na zdravstvene organizacije, državne organe, finansi... Dalje

Novi malver nazvan ''Korona virus'' zaključava Windows

Novi malver nazvan ''Korona virus'' zaključava Windows

Budući da su škole zatvorene zbog pandemije, neka deca se zabavljaju pravljenjem malvera. Takav je slučaj sa različitim novim verzijama MBRLocker... Dalje

Malver TrickBot zaobilazi dvofaktornu zaštitu banaka novom Android aplikacijom TrickMo

Malver TrickBot zaobilazi dvofaktornu zaštitu banaka novom Android aplikacijom TrickMo

Sajber-kriminalci koji stoje iza malvera TrickBot koriste Aandroid aplikaciju koju su napravili da bi zaobišli dvofaktornu (2FA) zaštitu koju korist... Dalje

Novi ransomware se zove CoronaVirus, ali on nije najgore što se može desiti vašem računaru

Novi ransomware se zove CoronaVirus, ali on nije najgore što se može desiti vašem računaru

Nova ransomware nazvan CoronaVirus širi se preko lažnog web sajta koji reklamira softver za optimizaciju sistema i druge programe WiseCleanera. Sajb... Dalje

Android malver Cerberus sada može da krade kodove za 2FA iz Google Authenticatora i daljinski otključava uređaj

Android malver Cerberus sada može da krade kodove za 2FA iz Google Authenticatora i daljinski otključava uređaj

Bankarski trojanac Cerberus je nadograđen i sada može da krade kodove Google Authenticatora za dvofaktornu autentifikaciju (2FA) koja se koristi kao... Dalje