Novi ransomware se zove CoronaVirus, ali on nije najgore što se može desiti vašem računaru

Opisi virusa, 16.03.2020, 10:30 AM

Novi ransomware se zove CoronaVirus, ali on nije najgore što se može desiti vašem računaru

Nova ransomware nazvan CoronaVirus širi se preko lažnog web sajta koji reklamira softver za optimizaciju sistema i druge programe WiseCleanera.

Sajber-kriminalci koriste sve veći strah od korona virusa (COVID-19), za širenje “koktela malvera” koji se sastoji od CoronaVirus ransomwarea i trojanca Kpot koji krade podatke.

MalwareHunterTeam koji je otkrio ovaj ransomware analizirao je njegov kod i došao do zaključka da je moguće da je reč o malveru koji briše podatke.

Da bi širili malver, napadači su napravili web sajt koji je lažno predstavljen kao sajt na kome je moguće preuzeti softver WiseCleaner.

Preuzimanja programa WiseCleanera na ovom lažnom web sajtu nisu moguća, ali sa sajta se preuzima fajl WSHSetup.exe koji se ponaša kao preuzimač (downloader) i za CoronaVirus ransomware i za trojanca koji krade lozinke pod nazivom Kpot.

Kada se fajl pokrene, on će pokušati da preuzme razne fajlove sa određenog web sajta. Trenutno su za preuzimanje dostupni samo file1.exe i file2.exe, ali downloader pokušava da preuzme ukupno sedam fajlova.

Prvi fajl, file1.exe, koga preuzima downloader je trojanac Kpot. Kada se pokrene, on će pokušati da ukrade kolačiće i korisnička imena i lozinke iz veb pregledača, programa za slanje poruka, VPN-ova, FTP-a, email naloga, naloga za igre poput Steam i Battle.net i drugih servisa. Malver će takođe praviti snimke aktivne radne površine i pokušati da pokrade novčanike kriptovalute na zaraženom računaru. Te se informacije zatim šalju na server kojim upravljaju napadači.

Drugi fajl, file2.exe, je CoronaVirus ransomware, koji će se koristiti za šifrovanje fajlova na računaru. On će šifrovati fajlove sa sledećim ekstenzijama: .bak, .bat, .doc, .jpg, .jpe, .txt, .tex, .dbf, .xls, .cry, .xml, .vsd, .pdf, .csv, .bmp, .tif, .tax, .gif, .gbr, .png, .mdb, .mdf, .sdf, .dwg, .dxf, .dgn, .stl, .gho, .ppt, .acc, .vpd, .odt, .ods, .rar, .zip, .cpp, .pas, .asm, .rtf, .lic, .avi, .mov, .vbs, .erf, .epf, .mxl, .cfu, .mht, .bak, .old.

Fajlovi koji su šifrovani biće preimenovani tako da imaju istu ekstenziju, ali se naziv fajla menja email adresom napadača. Na primer, test.jpg bi bio šifrovan i preimenovan u „coronaVi2022@protonmail.ch___1.jpg“.

U svakom folderu koji je šifrovan i na radnoj površini kreiraće se poruka o otkupu pod nazivom CoronaVirus.txt, u kojoj se navodi da žrtva treba da plati 0,008 bitkoina (oko 50 dolara) a za sada, kako kažu istraživači, nije bilo uplata.

Ransomware će takođe preimenovati C: disk u CoronaVirus.

Prilikom restartovanja, ransomware će prikazati ekran sa tekstom iz poruke o otkupnini. Nakon 45 minuta ova poruka na zaključanom ekranu će biti zamenjena drugačijom porukom. Posle 15 minuta, ponovo se pokreće Windows, a nakon prijave će se prikazati poruka o otkupu CoronaVirus.txt.

Zbog male otkupnine, statičke bikoin adrese i političke poruke koju prikazuje ransomware (“Donacije za američke predsedničke izbore prihvataju se svakodnevno.”), sumnja se da se ransomware koristi više kao pokriće za infekciju Kpot trojancem, nego zbog plaćanja otkupnine.

Prema rečima istraživača BleepingComputera, ransomware se koristi da odvrati pažnju korisnika od toga da je računar zaražen trojancem koji im krade lozinke, kolačiće i novčanike kripto-valute.

Svako ko je zaražen ovim CoronaVirusom treba odmah da iskoristi drugi računar da promeni sve svoje lozinke, jer su zbog infekcijem trojanca Kpot kompromitovane.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi malver nazvan ''Korona virus'' zaključava Windows

Novi malver nazvan ''Korona virus'' zaključava Windows

Budući da su škole zatvorene zbog pandemije, neka deca se zabavljaju pravljenjem malvera. Takav je slučaj sa različitim novim verzijama MBRLocker... Dalje

Malver TrickBot zaobilazi dvofaktornu zaštitu banaka novom Android aplikacijom TrickMo

Malver TrickBot zaobilazi dvofaktornu zaštitu banaka novom Android aplikacijom TrickMo

Sajber-kriminalci koji stoje iza malvera TrickBot koriste Aandroid aplikaciju koju su napravili da bi zaobišli dvofaktornu (2FA) zaštitu koju korist... Dalje

Novi ransomware se zove CoronaVirus, ali on nije najgore što se može desiti vašem računaru

Novi ransomware se zove CoronaVirus, ali on nije najgore što se može desiti vašem računaru

Nova ransomware nazvan CoronaVirus širi se preko lažnog web sajta koji reklamira softver za optimizaciju sistema i druge programe WiseCleanera. Sajb... Dalje

Android malver Cerberus sada može da krade kodove za 2FA iz Google Authenticatora i daljinski otključava uređaj

Android malver Cerberus sada može da krade kodove za 2FA iz Google Authenticatora i daljinski otključava uređaj

Bankarski trojanac Cerberus je nadograđen i sada može da krade kodove Google Authenticatora za dvofaktornu autentifikaciju (2FA) koja se koristi kao... Dalje

Malver Emotet hakuje obližnje Wi-Fi mreže i inficira računare povezane na njih

Malver Emotet hakuje obližnje Wi-Fi mreže i inficira računare povezane na njih

Zloglasni trojanac Emotet koji stoji iza brojnih spam kampanja i napada ransomwarea, sada ima novi način napada: koristi već zaražene uređaje za ... Dalje