Novi ransomware se zove CoronaVirus, ali on nije najgore što se može desiti vašem računaru

Opisi virusa, 16.03.2020, 10:30 AM

Novi ransomware se zove CoronaVirus, ali on nije najgore što se može desiti vašem računaru

Nova ransomware nazvan CoronaVirus širi se preko lažnog web sajta koji reklamira softver za optimizaciju sistema i druge programe WiseCleanera.

Sajber-kriminalci koriste sve veći strah od korona virusa (COVID-19), za širenje “koktela malvera” koji se sastoji od CoronaVirus ransomwarea i trojanca Kpot koji krade podatke.

MalwareHunterTeam koji je otkrio ovaj ransomware analizirao je njegov kod i došao do zaključka da je moguće da je reč o malveru koji briše podatke.

Da bi širili malver, napadači su napravili web sajt koji je lažno predstavljen kao sajt na kome je moguće preuzeti softver WiseCleaner.

Preuzimanja programa WiseCleanera na ovom lažnom web sajtu nisu moguća, ali sa sajta se preuzima fajl WSHSetup.exe koji se ponaša kao preuzimač (downloader) i za CoronaVirus ransomware i za trojanca koji krade lozinke pod nazivom Kpot.

Kada se fajl pokrene, on će pokušati da preuzme razne fajlove sa određenog web sajta. Trenutno su za preuzimanje dostupni samo file1.exe i file2.exe, ali downloader pokušava da preuzme ukupno sedam fajlova.

Prvi fajl, file1.exe, koga preuzima downloader je trojanac Kpot. Kada se pokrene, on će pokušati da ukrade kolačiće i korisnička imena i lozinke iz veb pregledača, programa za slanje poruka, VPN-ova, FTP-a, email naloga, naloga za igre poput Steam i Battle.net i drugih servisa. Malver će takođe praviti snimke aktivne radne površine i pokušati da pokrade novčanike kriptovalute na zaraženom računaru. Te se informacije zatim šalju na server kojim upravljaju napadači.

Drugi fajl, file2.exe, je CoronaVirus ransomware, koji će se koristiti za šifrovanje fajlova na računaru. On će šifrovati fajlove sa sledećim ekstenzijama: .bak, .bat, .doc, .jpg, .jpe, .txt, .tex, .dbf, .xls, .cry, .xml, .vsd, .pdf, .csv, .bmp, .tif, .tax, .gif, .gbr, .png, .mdb, .mdf, .sdf, .dwg, .dxf, .dgn, .stl, .gho, .ppt, .acc, .vpd, .odt, .ods, .rar, .zip, .cpp, .pas, .asm, .rtf, .lic, .avi, .mov, .vbs, .erf, .epf, .mxl, .cfu, .mht, .bak, .old.

Fajlovi koji su šifrovani biće preimenovani tako da imaju istu ekstenziju, ali se naziv fajla menja email adresom napadača. Na primer, test.jpg bi bio šifrovan i preimenovan u „[email protected]___1.jpg“.

U svakom folderu koji je šifrovan i na radnoj površini kreiraće se poruka o otkupu pod nazivom CoronaVirus.txt, u kojoj se navodi da žrtva treba da plati 0,008 bitkoina (oko 50 dolara) a za sada, kako kažu istraživači, nije bilo uplata.

Ransomware će takođe preimenovati C: disk u CoronaVirus.

Prilikom restartovanja, ransomware će prikazati ekran sa tekstom iz poruke o otkupnini. Nakon 45 minuta ova poruka na zaključanom ekranu će biti zamenjena drugačijom porukom. Posle 15 minuta, ponovo se pokreće Windows, a nakon prijave će se prikazati poruka o otkupu CoronaVirus.txt.

Zbog male otkupnine, statičke bikoin adrese i političke poruke koju prikazuje ransomware (“Donacije za američke predsedničke izbore prihvataju se svakodnevno.”), sumnja se da se ransomware koristi više kao pokriće za infekciju Kpot trojancem, nego zbog plaćanja otkupnine.

Prema rečima istraživača BleepingComputera, ransomware se koristi da odvrati pažnju korisnika od toga da je računar zaražen trojancem koji im krade lozinke, kolačiće i novčanike kripto-valute.

Svako ko je zaražen ovim CoronaVirusom treba odmah da iskoristi drugi računar da promeni sve svoje lozinke, jer su zbog infekcijem trojanca Kpot kompromitovane.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Sajber kriminalci koriste skandal sa reperom Pi Didijem za širenje novog malvera

Sajber kriminalci koriste skandal sa reperom Pi Didijem za širenje novog malvera

Sajber kriminalci pokušavaju da iskoriste interes javnosti u vezi optužbi protiv rep zvezde Šona „Didija“ Kombsa za širenje novog malv... Dalje

Novi RAT, trojanac SambaSpy, je digitalni špijun 21. veka

Novi RAT, trojanac SambaSpy, je digitalni špijun 21. veka

SambaSpy je RAT, trojanac koji napadačima obezbeđuje daljinski pristup zaraženim uređajima, koji je prvi put primećen u maju ove godine kada je k... Dalje

Malver StealC ima neobičan metod za krađu lozinke za Google nalog

Malver StealC ima neobičan metod za krađu lozinke za Google nalog

Malver StealC koristi neobičan metod zaključavanja korisnika u kiosk režimu pregledača kako bi ih naterao da unesu korisničko ime i lozinku za Go... Dalje

Novi malver za macOS krade lozinke i druge osetljive informacije sa zaraženih uređaja

Novi malver za macOS krade lozinke i druge osetljive informacije sa zaraženih uređaja

Firma Cado Security otkrila je novi malver, Cthulhu Stealer, koji inficira uređaje sa Appleovim operativnim sistemom macOS. Cthulhu Stealer funkcioni... Dalje

Malver TodoSwift inficira macOS maskiran u PDF aplikaciju

Malver TodoSwift inficira macOS maskiran u PDF aplikaciju

Istraživači iz firme Kandji upozorili su na TodoSwift, zlonamernu dropper aplikaciju koja se maskira kao program za preuzimanje PDF-ova. Njihov izve... Dalje