Novi ransomware se zove CoronaVirus, ali on nije najgore što se može desiti vašem računaru
Opisi virusa, 16.03.2020, 10:30 AM

Nova ransomware nazvan CoronaVirus širi se preko lažnog web sajta koji reklamira softver za optimizaciju sistema i druge programe WiseCleanera.
Sajber-kriminalci koriste sve veći strah od korona virusa (COVID-19), za širenje “koktela malvera” koji se sastoji od CoronaVirus ransomwarea i trojanca Kpot koji krade podatke.
MalwareHunterTeam koji je otkrio ovaj ransomware analizirao je njegov kod i došao do zaključka da je moguće da je reč o malveru koji briše podatke.
Da bi širili malver, napadači su napravili web sajt koji je lažno predstavljen kao sajt na kome je moguće preuzeti softver WiseCleaner.
Preuzimanja programa WiseCleanera na ovom lažnom web sajtu nisu moguća, ali sa sajta se preuzima fajl WSHSetup.exe koji se ponaša kao preuzimač (downloader) i za CoronaVirus ransomware i za trojanca koji krade lozinke pod nazivom Kpot.
Kada se fajl pokrene, on će pokušati da preuzme razne fajlove sa određenog web sajta. Trenutno su za preuzimanje dostupni samo file1.exe i file2.exe, ali downloader pokušava da preuzme ukupno sedam fajlova.
Prvi fajl, file1.exe, koga preuzima downloader je trojanac Kpot. Kada se pokrene, on će pokušati da ukrade kolačiće i korisnička imena i lozinke iz veb pregledača, programa za slanje poruka, VPN-ova, FTP-a, email naloga, naloga za igre poput Steam i Battle.net i drugih servisa. Malver će takođe praviti snimke aktivne radne površine i pokušati da pokrade novčanike kriptovalute na zaraženom računaru. Te se informacije zatim šalju na server kojim upravljaju napadači.
Drugi fajl, file2.exe, je CoronaVirus ransomware, koji će se koristiti za šifrovanje fajlova na računaru. On će šifrovati fajlove sa sledećim ekstenzijama: .bak, .bat, .doc, .jpg, .jpe, .txt, .tex, .dbf, .xls, .cry, .xml, .vsd, .pdf, .csv, .bmp, .tif, .tax, .gif, .gbr, .png, .mdb, .mdf, .sdf, .dwg, .dxf, .dgn, .stl, .gho, .ppt, .acc, .vpd, .odt, .ods, .rar, .zip, .cpp, .pas, .asm, .rtf, .lic, .avi, .mov, .vbs, .erf, .epf, .mxl, .cfu, .mht, .bak, .old.
Fajlovi koji su šifrovani biće preimenovani tako da imaju istu ekstenziju, ali se naziv fajla menja email adresom napadača. Na primer, test.jpg bi bio šifrovan i preimenovan u „[email protected]___1.jpg“.
U svakom folderu koji je šifrovan i na radnoj površini kreiraće se poruka o otkupu pod nazivom CoronaVirus.txt, u kojoj se navodi da žrtva treba da plati 0,008 bitkoina (oko 50 dolara) a za sada, kako kažu istraživači, nije bilo uplata.
Ransomware će takođe preimenovati C: disk u CoronaVirus.
Prilikom restartovanja, ransomware će prikazati ekran sa tekstom iz poruke o otkupnini. Nakon 45 minuta ova poruka na zaključanom ekranu će biti zamenjena drugačijom porukom. Posle 15 minuta, ponovo se pokreće Windows, a nakon prijave će se prikazati poruka o otkupu CoronaVirus.txt.
Zbog male otkupnine, statičke bikoin adrese i političke poruke koju prikazuje ransomware (“Donacije za američke predsedničke izbore prihvataju se svakodnevno.”), sumnja se da se ransomware koristi više kao pokriće za infekciju Kpot trojancem, nego zbog plaćanja otkupnine.
Prema rečima istraživača BleepingComputera, ransomware se koristi da odvrati pažnju korisnika od toga da je računar zaražen trojancem koji im krade lozinke, kolačiće i novčanike kripto-valute.
Svako ko je zaražen ovim CoronaVirusom treba odmah da iskoristi drugi računar da promeni sve svoje lozinke, jer su zbog infekcijem trojanca Kpot kompromitovane.

Izdvojeno
Opasni malver se širi preko Google oglasa koji reklamiraju popularni softver

Kompanija Trend Micro upozorila je na backdoor malver RomCom koji se širi sa veb sajtova na kojima se nudi poznati ili čak izmišljeni softver. Napa... Dalje
Novi malver Bandit Stealer krade podatke iz internet pretraživača i kripto novčanika
.jpg)
Istraživači iz kompanije Trend Micro otkrili su novi malver za krađu informacija koji cilja pretraživače i kripto novčanike. Iako je malver, naz... Dalje
Stručnjaci upozoravaju na novi malver koji može fizički da ošteti elektroenergetsku mrežu

U decembru 2021., korisnik sa ruskom IP adresom je postavio misteriozni malver na Googleov servis za skeniranje malvera VirusTotal. Prema analizi koju... Dalje
Novi malver, Atomic macOS Stealer, krade lozinke i kriptovalutu sa zaraženih računara

Poslednjih godina, macOS je sve popularniji među korisnicima, uglavnom zbog korisničkog interfejsa, koji je često hvaljen zbog svoje jednostavnosti... Dalje
Novi ransomware Cactus ima jedinstvenu taktiku za izbegavanje antivirusa

Istraživači iz kompanije za korporativne istrage i konsalting rizika Kroll otkrili su novu, sofisticiranu kampanju ransomwarea pod nazivom Cactus. R... Dalje
Pratite nas
Nagrade