Otkriven novi kripto-ransomware, za sada nema načina da žrtve vrate šifrovane fajlove

Opisi virusa, 18.12.2015, 01:00 AM

Otkriven novi kripto-ransomware, za sada nema načina da žrtve vrate šifrovane fajlove

Istraživač Lorens Abrams, vlasnik Bleeping Computera, otkrio je novi malver nazvan XRTN Ransomware koji je veoma sličan ransomwareu VaultCrypt, koji se pojavio u martu ove godine.

Njihova sličnost leži u činjenici da i jedan i drugi malver koriste RSA-1024 enkripciju i da se oslanjaju na GnuPG softver.

Do infekcije dolazi preko dokumenata koji se šalju emailovima. Kada se pokrene, XRTN Ransomware koristi JavaScript komande da bi se povezao sa serverom sa koga preuzima Word fajl, fajl GnuPG.exe i Windows batch fajl.

Kada završi sa tim, JS fajl će se pobrinuti da pokrene Word dokument koji je preuzeo. Na ovaj način napadači prikrivaju tragove. Email atačment može izgledati kao Word dokument, a ustvari je JavaScript fajl.

Sličnu taktiku koriste i nove verzije ranosmwarea TeslaCrypt, koje kao mamac koriste ZIP fajlove sa JavaScript instrukcijama koje se izvršavaju kada se fajl otpakuje, instalirajući tako ransomware.

Osim pokretanja Word dokumenta, JS fajl daje instrukcije inficiranom računaru da pokrene batch fajl koga je preuzeo. Ovaj fajl sadrži instrukcije za šifrovanje fajlova korisnika i upravljanje enkripcijskim ključevima.

Kada se pokrene batch fajl traži fajlove sa ekstenzijama kao što su .xls, .xlsx, .doc, .socx, .pdf, .rtf, .cdr, .psd, .dwg, .cd, .mdb, .1cd, .dbf, .sqlite, .jpg i .zip. Fajlovi sa ovim ekstenzijama se šifruju i dodaje im se ekstenzija .xrtn na kraju (zato je ransomware nazvan XRTN).

Svi fajlovi se šifruju sa RSA-1024 ključem, a svi detalji o šifrovanim fajlovima, zajedno sa ključem za dešifrovanje se čuvaju u XRTN.key fajlu.

Nažalost, to problem ne čini rešivim. XRNT.key fajl je takođe šifrovan glavnim ključem koji je sačuvan u batch fajlu. Korisnicima koji dešifruju XRTN.key i dođu do ključa za dešifrovanje svojih fajlova, biće potreban i privatni ključ za master ključ, koji imaju samo napadači.

Kada se šifrovanje završi, ransomware ostavlja obaveštenje o otkupu u kome se kaže da korisnik mora da pošalje email na email adresu [email protected] da bi dešifrovao svoje fajlove. Obaveštenje ne sadrži informacije o tome koliko hakeri traže za privatni ključ.

Pored toga, HTA dokument se prikazuje korisnicima svaki put kada pokrenu računar, kako bi se žrtva podsetila na infekciju.

Pošto XRTN briše shadow volume kopije i pokreće batch komande koje prepisuju slobodan prostor na disku, standardni alati za oporavak fajlova na hard disku nisu od pomoći, osim kao žrtva nema pristup backupovima.

U ovom trenutku, žrtvama jedino što ostaje je da kontaktiraju autora ransomwarea, jer nema efikasnog načina za uklanjanje XRTN Ransomwarea sa inficiranog računara.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Lažni PDF editori u Google oglasima kriju malver TamperedChef

Lažni PDF editori u Google oglasima kriju malver TamperedChef

Istraživači iz Truesec-a i G DATA otkrili su novu kampanju sajber kriminalaca koji koriste Google oglase da bi usmerili žrtve na lažne sajtove gde... Dalje

Lažni imejlovi instaliraju malver UpCrypter na Windows računarima

Lažni imejlovi instaliraju malver UpCrypter na Windows računarima

FortiGuard Labs, istraživački tim kompanije Fortinet, otkrio je novu globalnu kampanju koja preko phishing mejlova širi malver UpCrypter. Ovaj malv... Dalje

PromptLock: era AI ransomware-a je počela

PromptLock: era AI ransomware-a je počela

Istraživači iz kompanije ESET otkrili su prvi AI ransomware, prototip nazvan PromptLock, koji koristi model Open AI za generisanje skripti koje cilj... Dalje

Posle Windowsa, ClickFix napadi i na Macu: malver Shamos krade lozinke i kripto novčanike

Posle Windowsa, ClickFix napadi i na Macu: malver Shamos krade lozinke i kripto novčanike

Iako se često misli da su Mac računari bezbedniji od Windowsa, nova kampanja koju je otkrio CrowdStrike pokazuje da su i macOS korisnici sve češć... Dalje

Lažna ChatGPT desktop aplikacija širi malver PipeMagic

Lažna ChatGPT desktop aplikacija širi malver PipeMagic

Microsoft je upozorio da se lažna verzija ChatGPT desktop aplikacije koristi za isporuku opasnog backdoora nazvanog PipeMagic, povezanog sa napadima ... Dalje