Novi ransomware se zove CoronaVirus, ali on nije najgore što se može desiti vašem računaru
Opisi virusa, 16.03.2020, 10:30 AM

Nova ransomware nazvan CoronaVirus širi se preko lažnog web sajta koji reklamira softver za optimizaciju sistema i druge programe WiseCleanera.
Sajber-kriminalci koriste sve veći strah od korona virusa (COVID-19), za širenje “koktela malvera” koji se sastoji od CoronaVirus ransomwarea i trojanca Kpot koji krade podatke.
MalwareHunterTeam koji je otkrio ovaj ransomware analizirao je njegov kod i došao do zaključka da je moguće da je reč o malveru koji briše podatke.
Da bi širili malver, napadači su napravili web sajt koji je lažno predstavljen kao sajt na kome je moguće preuzeti softver WiseCleaner.
Preuzimanja programa WiseCleanera na ovom lažnom web sajtu nisu moguća, ali sa sajta se preuzima fajl WSHSetup.exe koji se ponaša kao preuzimač (downloader) i za CoronaVirus ransomware i za trojanca koji krade lozinke pod nazivom Kpot.
Kada se fajl pokrene, on će pokušati da preuzme razne fajlove sa određenog web sajta. Trenutno su za preuzimanje dostupni samo file1.exe i file2.exe, ali downloader pokušava da preuzme ukupno sedam fajlova.
Prvi fajl, file1.exe, koga preuzima downloader je trojanac Kpot. Kada se pokrene, on će pokušati da ukrade kolačiće i korisnička imena i lozinke iz veb pregledača, programa za slanje poruka, VPN-ova, FTP-a, email naloga, naloga za igre poput Steam i Battle.net i drugih servisa. Malver će takođe praviti snimke aktivne radne površine i pokušati da pokrade novčanike kriptovalute na zaraženom računaru. Te se informacije zatim šalju na server kojim upravljaju napadači.
Drugi fajl, file2.exe, je CoronaVirus ransomware, koji će se koristiti za šifrovanje fajlova na računaru. On će šifrovati fajlove sa sledećim ekstenzijama: .bak, .bat, .doc, .jpg, .jpe, .txt, .tex, .dbf, .xls, .cry, .xml, .vsd, .pdf, .csv, .bmp, .tif, .tax, .gif, .gbr, .png, .mdb, .mdf, .sdf, .dwg, .dxf, .dgn, .stl, .gho, .ppt, .acc, .vpd, .odt, .ods, .rar, .zip, .cpp, .pas, .asm, .rtf, .lic, .avi, .mov, .vbs, .erf, .epf, .mxl, .cfu, .mht, .bak, .old.
Fajlovi koji su šifrovani biće preimenovani tako da imaju istu ekstenziju, ali se naziv fajla menja email adresom napadača. Na primer, test.jpg bi bio šifrovan i preimenovan u „[email protected]___1.jpg“.
U svakom folderu koji je šifrovan i na radnoj površini kreiraće se poruka o otkupu pod nazivom CoronaVirus.txt, u kojoj se navodi da žrtva treba da plati 0,008 bitkoina (oko 50 dolara) a za sada, kako kažu istraživači, nije bilo uplata.
Ransomware će takođe preimenovati C: disk u CoronaVirus.
Prilikom restartovanja, ransomware će prikazati ekran sa tekstom iz poruke o otkupnini. Nakon 45 minuta ova poruka na zaključanom ekranu će biti zamenjena drugačijom porukom. Posle 15 minuta, ponovo se pokreće Windows, a nakon prijave će se prikazati poruka o otkupu CoronaVirus.txt.
Zbog male otkupnine, statičke bikoin adrese i političke poruke koju prikazuje ransomware (“Donacije za američke predsedničke izbore prihvataju se svakodnevno.”), sumnja se da se ransomware koristi više kao pokriće za infekciju Kpot trojancem, nego zbog plaćanja otkupnine.
Prema rečima istraživača BleepingComputera, ransomware se koristi da odvrati pažnju korisnika od toga da je računar zaražen trojancem koji im krade lozinke, kolačiće i novčanike kripto-valute.
Svako ko je zaražen ovim CoronaVirusom treba odmah da iskoristi drugi računar da promeni sve svoje lozinke, jer su zbog infekcijem trojanca Kpot kompromitovane.

Izdvojeno
Novi malver ruskih hakera LOSTKEYS je digitalna verzija špijuna

Google-ova obaveštajna grupa za pretnje (GTIG) identifikovala je novi malver pod nazivom LOSTKEYS, dizajniran za krađu fajlova i sistemskih podataka... Dalje
Novi, opasni trojanac koji krade lozinke širi se preko YouTube-a
.jpg)
Istraživači bezbednosti iz CYFIRMA otkrili su novi malver nazvan Neptun RAT koji inficira Windows uređaje i krade lozinke. Malver koga bezbednosni ... Dalje
Novi malver koji krade lozinke širi se preko YouTube-a
.jpg)
Novootkriveni malver za krađu informacija pod nazivom Arcane Stealer krade mnoštvo korisničkih podataka, uključujući podatke za prijavljivanje z... Dalje
Novi malver MassJacker krije se u piratskom softveru
.jpg)
Korisnici koji traže piratski softver mete su napada koji rezultiraju infekcijom novim malverom pod nazivom MassJacker. Prema nalazima kompanije Cybe... Dalje
Hakeri koriste Google Docs i Steam za kontrolu malvera koji kradu lozinke

Google Docs i druge pouzdane platforme se koriste za skrivenu kontrolu malvera koji kradu, lozinke, logove ćaskanja i osetljive podatke (infostealer... Dalje
Pratite nas
Nagrade