Otkriven novi kripto-ransomware, za sada nema načina da žrtve vrate šifrovane fajlove

Opisi virusa, 18.12.2015, 01:00 AM

Otkriven novi kripto-ransomware, za sada nema načina da žrtve vrate šifrovane fajlove

Istraživač Lorens Abrams, vlasnik Bleeping Computera, otkrio je novi malver nazvan XRTN Ransomware koji je veoma sličan ransomwareu VaultCrypt, koji se pojavio u martu ove godine.

Njihova sličnost leži u činjenici da i jedan i drugi malver koriste RSA-1024 enkripciju i da se oslanjaju na GnuPG softver.

Do infekcije dolazi preko dokumenata koji se šalju emailovima. Kada se pokrene, XRTN Ransomware koristi JavaScript komande da bi se povezao sa serverom sa koga preuzima Word fajl, fajl GnuPG.exe i Windows batch fajl.

Kada završi sa tim, JS fajl će se pobrinuti da pokrene Word dokument koji je preuzeo. Na ovaj način napadači prikrivaju tragove. Email atačment može izgledati kao Word dokument, a ustvari je JavaScript fajl.

Sličnu taktiku koriste i nove verzije ranosmwarea TeslaCrypt, koje kao mamac koriste ZIP fajlove sa JavaScript instrukcijama koje se izvršavaju kada se fajl otpakuje, instalirajući tako ransomware.

Osim pokretanja Word dokumenta, JS fajl daje instrukcije inficiranom računaru da pokrene batch fajl koga je preuzeo. Ovaj fajl sadrži instrukcije za šifrovanje fajlova korisnika i upravljanje enkripcijskim ključevima.

Kada se pokrene batch fajl traži fajlove sa ekstenzijama kao što su .xls, .xlsx, .doc, .socx, .pdf, .rtf, .cdr, .psd, .dwg, .cd, .mdb, .1cd, .dbf, .sqlite, .jpg i .zip. Fajlovi sa ovim ekstenzijama se šifruju i dodaje im se ekstenzija .xrtn na kraju (zato je ransomware nazvan XRTN).

Svi fajlovi se šifruju sa RSA-1024 ključem, a svi detalji o šifrovanim fajlovima, zajedno sa ključem za dešifrovanje se čuvaju u XRTN.key fajlu.

Nažalost, to problem ne čini rešivim. XRNT.key fajl je takođe šifrovan glavnim ključem koji je sačuvan u batch fajlu. Korisnicima koji dešifruju XRTN.key i dođu do ključa za dešifrovanje svojih fajlova, biće potreban i privatni ključ za master ključ, koji imaju samo napadači.

Kada se šifrovanje završi, ransomware ostavlja obaveštenje o otkupu u kome se kaže da korisnik mora da pošalje email na email adresu xrtnhelp@yandex.ru da bi dešifrovao svoje fajlove. Obaveštenje ne sadrži informacije o tome koliko hakeri traže za privatni ključ.

Pored toga, HTA dokument se prikazuje korisnicima svaki put kada pokrenu računar, kako bi se žrtva podsetila na infekciju.

Pošto XRTN briše shadow volume kopije i pokreće batch komande koje prepisuju slobodan prostor na disku, standardni alati za oporavak fajlova na hard disku nisu od pomoći, osim kao žrtva nema pristup backupovima.

U ovom trenutku, žrtvama jedino što ostaje je da kontaktiraju autora ransomwarea, jer nema efikasnog načina za uklanjanje XRTN Ransomwarea sa inficiranog računara.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Malver TrickBot zaobilazi dvofaktornu zaštitu banaka novom Android aplikacijom TrickMo

Malver TrickBot zaobilazi dvofaktornu zaštitu banaka novom Android aplikacijom TrickMo

Sajber-kriminalci koji stoje iza malvera TrickBot koriste Aandroid aplikaciju koju su napravili da bi zaobišli dvofaktornu (2FA) zaštitu koju korist... Dalje

Novi ransomware se zove CoronaVirus, ali on nije najgore što se može desiti vašem računaru

Novi ransomware se zove CoronaVirus, ali on nije najgore što se može desiti vašem računaru

Nova ransomware nazvan CoronaVirus širi se preko lažnog web sajta koji reklamira softver za optimizaciju sistema i druge programe WiseCleanera. Sajb... Dalje

Android malver Cerberus sada može da krade kodove za 2FA iz Google Authenticatora i daljinski otključava uređaj

Android malver Cerberus sada može da krade kodove za 2FA iz Google Authenticatora i daljinski otključava uređaj

Bankarski trojanac Cerberus je nadograđen i sada može da krade kodove Google Authenticatora za dvofaktornu autentifikaciju (2FA) koja se koristi kao... Dalje

Malver Emotet hakuje obližnje Wi-Fi mreže i inficira računare povezane na njih

Malver Emotet hakuje obližnje Wi-Fi mreže i inficira računare povezane na njih

Zloglasni trojanac Emotet koji stoji iza brojnih spam kampanja i napada ransomwarea, sada ima novi način napada: koristi već zaražene uređaje za ... Dalje

Ransomware koristi ranjivi Windows drajver da bi isključio antivirus na računaru

Ransomware koristi ranjivi Windows drajver da bi isključio antivirus na računaru

Kompanija Sophos upozorila je na napad ransomwarea u kome se koristi ranjivi drajver tajvanskog proizvođača matičnih ploča Gigabyte za upad u Wind... Dalje