Novi ransomware Trump je ustvari već poznati ransomware VenusLocker

Opisi virusa, 01.03.2017, 02:00 AM

Novi ransomware Trump je ustvari već poznati ransomware VenusLocker

Pre nego što prikaže obaveštenje o otkupnini novi ransomware koji je nazvan TrumpLocker prikazuje sliku novog američkog predsednika Donalda Trampa. Ipak, istraživači koji su analizirali ovaj ransomware smatraju da nije reč o potpuno novom malicioznom kodu, već da je TrumpLocker povezan sa ransomwareom VenusLocker koji je otkriven 4. avgusta prošle godine, i koji je 23. decembra ažuriran poslednji put.

Iako je doveden u vezu sa VenusLockerom, ne može se sa sigurnošću reći da li novi ransomware distribuira ista grupa koja je širila i VenusLocker. Moguće je da je neko reverznim inženjeringom napravio identičnu kopiju ransomwarea VenusLocker.

Do infekcije dolazi kada žrtva pokrene fajl TrumpLocker.exe. Kako se distribuira TrumpLocker i kako pomenuti izvršni fajl dolazi do korisnika u ovom trenutku nije poznato.

Kada se pokrene, malver najpre kontaktira svoj komandno-kontrolni server da bi dobio javni ključ za šifrovanje fajlova i iznos otkupnine koja će biti tražena od žrtve koja je mora platiti bitcoinima. Trenutno, ransomware TrumpLocker traži od žrtava 0,145 bitcoina, što je oko 165 dolara.

Kada dobije javni ključ, ransomware počinje proces šifrovanja fajlova. TrumpLocker ima listu fajlova koje treba šifrovati, što je uobičajeno za ovu vrstu malvera. Ono po čemu se TrumpLocker razlikuje je to što on pojedine fajlove potpuno šifruje dok u slučaju nekih drugih fajlova, ransomware šifruje samo prvih 1024 bajta svakog fajla. Ovako nešto je do sada viđeno samo kod ransomwarea VenusLocker.

TrumpLocker potpuno šifruje fajlove sa sledećim ekstenzijama: .txt, .ini, .php, .html, .css, .py, .c, .cpp, .cc, .h, .cs, .log, .pl, .java, .doc, .dot, .docx, .docm, .dotx, .dotm, .rtf, .wpd, .docb, .wps, .msg, .xls, .xlt, .xlm, .xlsx, .xlsm, .xltx, .xltm, xlsb, .xla, .xlam, .xll, .xlw, .ppt, .pot, .pps, .pptx, .pptm, .potx, .potm, .ppam, .ppsx, .ppsm, .sldx, .sldm, .class, .jar, .csv, .xml, .dwg, .dxf i .asp.

Spisak onih drugih fajlova je značajno duži. Bez obzira da li ih potpuno ili samo delimično šifruje, ransomware dodaje svakom fajlu extenziju .TheTrumpLockerfp.

Ono što otežava identifikovanje fajlova nije samo dodavanje pomenute ekstenzije, već i kodiranje naziva fajlova.

Ono po čemu su još TrumpLocker i VenusLocker slični je i lista izuzetih foldera, koja je ustvari spisak reči koje ransomware koristi da bi proverio nazive foldera kako ne bi šifrovao fajlove koji se nalaze u izuzetim folderima. TrumpLocker i VenusLocker imaju identičnu listu.

Kada završi sa šifrovanjem fajlova, TrumpLocker prelazi na zahtev za otkupninu.

Najpre, ransomware ostavlja fajl "What happen to my files.txt" na desktopu.

Zatim, TrumpLocker ostavlja fajl uinf.uinf na disku, koji služi kao konfiguracioni fajl i koji sadrži odgovore sa komandno-kontrolnog servera. Fajl koristi program RansomNote.exe koga TrumpLocker izvlači iz glavnog instalera (TrumpLocker.exe) i koga ostavlja na desktopu.

Posle ovoga, ransomware izvršava komandu kojom briše lokalne shadow volume kopije, zbog čega je oporavak originalnih verzija fajlova nemoguć.

Sledeće što će ransomware uraditi je zamena pozadine desktopa slikom koju ransomware preuzima sa određenog Imgur URL-a.

Na kraju, pokreće se fajl RansomNote.exe, koga je ransomware ostavio prethodno na desktopu. Žrtva će tada videti sliku Donalda Trampa i tekst "YOU ARE HACKED!!"

Ova slika se neće dugo zadržati na ekranu. Žrtva će ubrzo videti novi prozor u kome se prikazuju informacije o plaćanju otkupnine. Još jedan znak da su TrumpLocker i VenusLocker povezani je to što su ova dva prozora skoro identični.

TrumpLocker će se pobrinuti za slučaj ako žrtva pokuša da se otarasi ovog prozora restartovanjem računara, da se RansomNote.exe pokrene posle ponovnog pokretanja sistema.

A kako izgleda napad ransomwarea TrumpLocker možete pogledati u videu koji je na svom kanalu objavio srpski istraživač CyberSecurity GrujaRS.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Ransomware se pretvara da je Windowsov sigurnosni skener da bi prevario korisnike da ga instaliraju

Ransomware se pretvara da je Windowsov sigurnosni skener da bi prevario korisnike da ga instaliraju

Pre nedelju dana otkriven je malver koji se pretvara da je Microsoftov sigurnosni skener. Namerno ili greškom, malver oštećuje fajlove žrtava. Ist... Dalje

Francuska policija krišom uklonila malver RETADUP sa 850000 zaraženih računara

Francuska policija krišom uklonila malver RETADUP sa 850000 zaraženih računara

Francuska Nacionalna žandarmerija objavila je juče da je više od 850000 računara širom sveta oslobođeno trenutno jednog od najraširenijeg malve... Dalje

Malver GermanWiper briše podatke, ali ipak traži otkupninu za fajlove koje ne može da vrati

Malver GermanWiper briše podatke, ali ipak traži otkupninu za fajlove koje ne može da vrati

Prošla nedelja počela je loše za veći broj nemačkih kompanija koje je blokirao malver koji briše podatke i koji je u ime onih koji su ga širili... Dalje

Novi ransomware za Android koristi SMS spam poruke da bi inficirao uređaje

Novi ransomware za Android koristi SMS spam poruke da bi inficirao uređaje

Novi ransomware koji inficira Android uređaje širi se slanjem tekstualnih poruka koje sadrže maliciozne linkove svima sa liste kontakata koja se na... Dalje

Lažni Office 365 sajt inficira posetioce trojancem TrickBot sakrivenim u ažuriranje za Chrome i Firefox

Lažni Office 365 sajt inficira posetioce trojancem TrickBot sakrivenim u ažuriranje za Chrome i Firefox

Napadači su kreirali lažni Office 365 sajt koji distribuira trojanca TrickBot koji krade lozinke. Trojanac je sakriven u lažnim ažuriranjima za Ch... Dalje