Novi ransomware se zove CoronaVirus, ali on nije najgore što se može desiti vašem računaru

Opisi virusa, 16.03.2020, 10:30 AM

Novi ransomware se zove CoronaVirus, ali on nije najgore što se može desiti vašem računaru

Nova ransomware nazvan CoronaVirus širi se preko lažnog web sajta koji reklamira softver za optimizaciju sistema i druge programe WiseCleanera.

Sajber-kriminalci koriste sve veći strah od korona virusa (COVID-19), za širenje “koktela malvera” koji se sastoji od CoronaVirus ransomwarea i trojanca Kpot koji krade podatke.

MalwareHunterTeam koji je otkrio ovaj ransomware analizirao je njegov kod i došao do zaključka da je moguće da je reč o malveru koji briše podatke.

Da bi širili malver, napadači su napravili web sajt koji je lažno predstavljen kao sajt na kome je moguće preuzeti softver WiseCleaner.

Preuzimanja programa WiseCleanera na ovom lažnom web sajtu nisu moguća, ali sa sajta se preuzima fajl WSHSetup.exe koji se ponaša kao preuzimač (downloader) i za CoronaVirus ransomware i za trojanca koji krade lozinke pod nazivom Kpot.

Kada se fajl pokrene, on će pokušati da preuzme razne fajlove sa određenog web sajta. Trenutno su za preuzimanje dostupni samo file1.exe i file2.exe, ali downloader pokušava da preuzme ukupno sedam fajlova.

Prvi fajl, file1.exe, koga preuzima downloader je trojanac Kpot. Kada se pokrene, on će pokušati da ukrade kolačiće i korisnička imena i lozinke iz veb pregledača, programa za slanje poruka, VPN-ova, FTP-a, email naloga, naloga za igre poput Steam i Battle.net i drugih servisa. Malver će takođe praviti snimke aktivne radne površine i pokušati da pokrade novčanike kriptovalute na zaraženom računaru. Te se informacije zatim šalju na server kojim upravljaju napadači.

Drugi fajl, file2.exe, je CoronaVirus ransomware, koji će se koristiti za šifrovanje fajlova na računaru. On će šifrovati fajlove sa sledećim ekstenzijama: .bak, .bat, .doc, .jpg, .jpe, .txt, .tex, .dbf, .xls, .cry, .xml, .vsd, .pdf, .csv, .bmp, .tif, .tax, .gif, .gbr, .png, .mdb, .mdf, .sdf, .dwg, .dxf, .dgn, .stl, .gho, .ppt, .acc, .vpd, .odt, .ods, .rar, .zip, .cpp, .pas, .asm, .rtf, .lic, .avi, .mov, .vbs, .erf, .epf, .mxl, .cfu, .mht, .bak, .old.

Fajlovi koji su šifrovani biće preimenovani tako da imaju istu ekstenziju, ali se naziv fajla menja email adresom napadača. Na primer, test.jpg bi bio šifrovan i preimenovan u „[email protected]___1.jpg“.

U svakom folderu koji je šifrovan i na radnoj površini kreiraće se poruka o otkupu pod nazivom CoronaVirus.txt, u kojoj se navodi da žrtva treba da plati 0,008 bitkoina (oko 50 dolara) a za sada, kako kažu istraživači, nije bilo uplata.

Ransomware će takođe preimenovati C: disk u CoronaVirus.

Prilikom restartovanja, ransomware će prikazati ekran sa tekstom iz poruke o otkupnini. Nakon 45 minuta ova poruka na zaključanom ekranu će biti zamenjena drugačijom porukom. Posle 15 minuta, ponovo se pokreće Windows, a nakon prijave će se prikazati poruka o otkupu CoronaVirus.txt.

Zbog male otkupnine, statičke bikoin adrese i političke poruke koju prikazuje ransomware (“Donacije za američke predsedničke izbore prihvataju se svakodnevno.”), sumnja se da se ransomware koristi više kao pokriće za infekciju Kpot trojancem, nego zbog plaćanja otkupnine.

Prema rečima istraživača BleepingComputera, ransomware se koristi da odvrati pažnju korisnika od toga da je računar zaražen trojancem koji im krade lozinke, kolačiće i novčanike kripto-valute.

Svako ko je zaražen ovim CoronaVirusom treba odmah da iskoristi drugi računar da promeni sve svoje lozinke, jer su zbog infekcijem trojanca Kpot kompromitovane.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi trojanac ToxicEye koristi aplikaciju Telegram za špijuniranje i krađu podataka korisnika

Novi trojanac ToxicEye koristi aplikaciju Telegram za špijuniranje i krađu podataka korisnika

Sajber kriminalci sve češće zloupotrebljavaju Telegram za kontrolu i upravljanje malverima i krađu informacija sa ciljanih sistema. ToxicEye je no... Dalje

Sajber kriminalci koriste kontakt forme na veb sajtovima za širenje trojanca IcedID

Sajber kriminalci koriste kontakt forme na veb sajtovima za širenje trojanca IcedID

Istraživači iz kompanije Microsoft upozorili su na novu fišing kampanju u kojoj napadači koriste obrasce za kontakt (“Kontaktirajte nas&rdqu... Dalje

Novi malver CopperStealer krade Google, Facebook i Apple naloge

Novi malver CopperStealer krade Google, Facebook i Apple naloge

Istraživači kompanije Proofpoint otkrili su malver koji se distribuira preko sajtova na kojima se nudi nelegalni piratski softver, a koji cilja kori... Dalje

30000 Mac računara inficirano novim malverom Silver Sparrow

30000 Mac računara inficirano novim malverom Silver Sparrow

Novi malver Silver Sparrow inficirao je 30000 Mac računara. Malver su otkrili istraživači iz firme Red Canary koji su ga analizirali zajedno sa ist... Dalje

Otkriven prvi malver koji napada isključivo Appleov novi M1 čip

Otkriven prvi malver koji napada isključivo Appleov novi M1 čip

Bivši istraživač NSA Patrik Vordl otkrio je malver koji je dizajniran za napade na računare sa Appleovim novim M1 čipom, koji se koristi na najno... Dalje