Novi ransomware R980: Ako platite otkup evo zašto morate što pre preuzeti dekripter

Opisi virusa, 15.08.2016, 01:00 AM

Novi ransomware R980: Ako platite otkup evo zašto morate što pre preuzeti dekripter

Kada dođe do infekcije računara ransomwareom, žrtve najčešće imaju dve opcije. Ili im je ostavljena email adresa na koju mogu poslati email i tako stupiti u kontakt sa sajber kriminalcima, ili im ostavljen link za Tor web sajt na kome mogu platiti otkup, preuzeti dekripter, a u nekim slučajevima na takvim sajtovima postoji i prozor za chat preko koga žrtve mogu kontaktirati kriminalce i zatražiti podršku.

U slučaju novootkrivenog ransomwarea R980, u obaveštenju o otkupu nalazi se adresa bitcoin novčanika koju R980 dobija pošto kontaktira svoj komandno-kontrolni server i uputstvo za korisnika kako da plati otkup i dobije dekripter.

Ono po čemu se R980 razlikuje od drugih ransomwarea je upravo način plaćanja i preuzimanja dekriptera.

Prema uputstvu, kada korisnik obavi plaćanje, to će biti automatski detektovano. Da bi zaštitili svoj idetitet, sajber kriminalci koriste raspoložive email adrese zloupotrebljavajući servis Mailinator. Preko istog web sajta, sajber kriminalci kreiraju javne email naloge za žrtve koji se koriste kao mesto sa kojeg žrtve mogu preuzeti alat za dešifrovanje. Ova email adresa navedena je u obaveštenju i jedinstvena je za svakog korisnika.

Korisnici inficiranog računara moraju biti veoma oprezni jer je Mailinator servis koji automatski briše sve emailove posle nekoliko sati.

To znači da kada korisnik plati otkup, mora da proveri Mailinator inboks da bi video da li je dekripter stigao, inače rizikuje da zauvek izgubi i dekripter i sve svoje fajlove.

S obzirom na to da R980 koristi dualni sistem enkripcije baziran na AES-256 i RSA 4096 algoritmima, veoma su male šanse da će stručnjaci moći da naprave besplatni alat za dešifrovanje fajlova. R980 šifruje više od 150 vrsta fajlova i nazivu svakog šifrovanog fala dodaje ekstenziju .crypt. Da ne bude zabune - to je jedina sličnost ovog ransomwarea sa ransomwareom CryptXXX koji koristi istu ekstenziju.

R980 se širi preko spam emailova koji sadrže Office fajlove koji kada se otvore traže od korisnika da omogući macro podršku. To je uslov za infekciju računara ransomwareom R980.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi trojanac ''Jupyter'' krade korisnička imena i lozinke iz Chromea i Firefoxa

Novi trojanac ''Jupyter'' krade korisnička imena i lozinke iz Chromea i Firefoxa

Istraživači iz firme Morphisec otkrili su novog trojanca u mreži neimenovane visokoškolske ustanove u SAD, za koga kažu da je aktivan od maja ove... Dalje

Lažni rezultat testa na COVID-19 krije novi ransomware

Lažni rezultat testa na COVID-19 krije novi ransomware

Istraživači Cofense Intelligencea upozorili su na novu verziju ransomwarea Hentai OniChan nazvanu „King Engine“ koja se krije u emailovi... Dalje

Malver Emotet sada ima novu taktiku, traži od žrtava da nadograde Microsoft Word

Malver Emotet sada ima novu taktiku, traži od žrtava da nadograde Microsoft Word

Emotet je prošle nedelje promenio taktiku i sada koristi poruku Microsoft Officea u kojoj se navodi da Microsoft Word treba ažurirati da bi dobio no... Dalje

Malver za špijuniranje Gravity RAT koji je ranije inficirao samo Windows, sada inficira i Android i macOS

Malver za špijuniranje Gravity RAT koji je ranije inficirao samo Windows, sada inficira i Android i macOS

GravityRAT, malver koji je poznat po tome što proverava temperaturu procesora na Windows računarima da bi otkrio virtuelne mašine ili sandbox, sada... Dalje

Malver IPStorm više nije pretnja samo korisnicima Windowsa, sada inficira i pametne televizore

Malver IPStorm više nije pretnja samo korisnicima Windowsa, sada inficira i pametne televizore

Malver IPStorm (InterPlanetary Storm) koji je prvi put primećen u maju prošle godine u napadima na Windows sisteme, evoluirao je i sada inficira i d... Dalje