Pratite nas preko RSS-aNovi ransomware inficira računare preko Windows Remote Desktop Services
Opisi virusa, 27.10.2015, 01:00 AM
Novi ransomware koji uz pomoć Windows Remote Desktop Services inficira računare i šifruje fajlove, traži od žrtava 4 bitcoina (čija je trenutna vrednost oko 1000 dolara) za dešifrovanje fajlova.
Ransomware su prvi videli korisnici u Bugarskoj i Grčkoj, koji su na internetu, tačnije na forumima Bleeping Computers potražili pomoć.
Istraživač Nejtan Skot analizirao je novi ransomware i prema onome što je on otkrio, napadači su ručno instalirali ransomware na svim inficiranim uređajima brute-force hakovanjem naloga korisnika na računarima na kojima su ostale otvorene Remote Desktop ili Terminal Services konekcije.
Kada steknu uporište na inficiranom sistemu, napadači pokreću izvršni fajl ransomwarea, koji najpre mapira sve lokalne i mrežne drajvove.
Pošto kreira virtualnu mapu svih drajvova i fajlova, ransomware traži fajlove sa određenim ekstenzijama koje će zatim šifrovati uz pomoć moćnog 2048-bitnog RSA ključa, slično kao što radi CryptoLocker, verovatno najpoznatiji i najopasniji kripto-malver.
Malver zatim u svakom folderu u kome se nalaze šifrovani fajlovi ostavlja fajl “help recover files.txt” koji sadrži informacije o tome kako platiti otkup za šifrovane fajlove.
Svim šifrovanim fajlovima je dodato “oorr” u nazivu.
Da bi se sprečila analiza i reverzni inženjering ransomware čisti iza sebe i uklanja sistemske logove događaja iz Applications, Security i System.
Neke od šifrovanih fajlova moguće je povratiti. Ako su neki od šifrovanih fajlova sinhronizovani i hostovani na cloud servisima kao što su Dropbox ili Google Drive, korisnici mogu da uklone prefiks oorr i da iskoriste ove servise da bi vratili fajlove na prethodne verzije.
Drugi način je oporavak Shadow volume kopija hard diska, koju ransomware ne briše, uz pomoć programa kao što je ShadowExplorer.
Na žalost, ovo neće vratiti sve, već samo neke od šifrovanih fajlova onim korisnicima koje nemaju namere da plate otkup, što je i opšta preporuka stručnjaka u ovakvim slučajevima. Plaćanjem se samo ohrabruju kriminalci da nastave sa svojim unosnim biznisom.
Izdvojeno
Malver TrickBot zaobilazi dvofaktornu zaštitu banaka novom Android aplikacijom TrickMo
Sajber-kriminalci koji stoje iza malvera TrickBot koriste Aandroid aplikaciju koju su napravili da bi zaobišli dvofaktornu (2FA) zaštitu koju korist... Dalje
Novi ransomware se zove CoronaVirus, ali on nije najgore što se može desiti vašem računaru
Nova ransomware nazvan CoronaVirus širi se preko lažnog web sajta koji reklamira softver za optimizaciju sistema i druge programe WiseCleanera. Sajb... Dalje
Android malver Cerberus sada može da krade kodove za 2FA iz Google Authenticatora i daljinski otključava uređaj
Bankarski trojanac Cerberus je nadograđen i sada može da krade kodove Google Authenticatora za dvofaktornu autentifikaciju (2FA) koja se koristi kao... Dalje
Malver Emotet hakuje obližnje Wi-Fi mreže i inficira računare povezane na njih
Zloglasni trojanac Emotet koji stoji iza brojnih spam kampanja i napada ransomwarea, sada ima novi način napada: koristi već zaražene uređaje za ... Dalje
Ransomware koristi ranjivi Windows drajver da bi isključio antivirus na računaru
Kompanija Sophos upozorila je na napad ransomwarea u kome se koristi ranjivi drajver tajvanskog proizvođača matičnih ploča Gigabyte za upad u Wind... Dalje