Otkriven novi kripto-ransomware, za sada nema načina da žrtve vrate šifrovane fajlove

Opisi virusa, 18.12.2015, 01:00 AM

Otkriven novi kripto-ransomware, za sada nema načina da žrtve vrate šifrovane fajlove

Istraživač Lorens Abrams, vlasnik Bleeping Computera, otkrio je novi malver nazvan XRTN Ransomware koji je veoma sličan ransomwareu VaultCrypt, koji se pojavio u martu ove godine.

Njihova sličnost leži u činjenici da i jedan i drugi malver koriste RSA-1024 enkripciju i da se oslanjaju na GnuPG softver.

Do infekcije dolazi preko dokumenata koji se šalju emailovima. Kada se pokrene, XRTN Ransomware koristi JavaScript komande da bi se povezao sa serverom sa koga preuzima Word fajl, fajl GnuPG.exe i Windows batch fajl.

Kada završi sa tim, JS fajl će se pobrinuti da pokrene Word dokument koji je preuzeo. Na ovaj način napadači prikrivaju tragove. Email atačment može izgledati kao Word dokument, a ustvari je JavaScript fajl.

Sličnu taktiku koriste i nove verzije ranosmwarea TeslaCrypt, koje kao mamac koriste ZIP fajlove sa JavaScript instrukcijama koje se izvršavaju kada se fajl otpakuje, instalirajući tako ransomware.

Osim pokretanja Word dokumenta, JS fajl daje instrukcije inficiranom računaru da pokrene batch fajl koga je preuzeo. Ovaj fajl sadrži instrukcije za šifrovanje fajlova korisnika i upravljanje enkripcijskim ključevima.

Kada se pokrene batch fajl traži fajlove sa ekstenzijama kao što su .xls, .xlsx, .doc, .socx, .pdf, .rtf, .cdr, .psd, .dwg, .cd, .mdb, .1cd, .dbf, .sqlite, .jpg i .zip. Fajlovi sa ovim ekstenzijama se šifruju i dodaje im se ekstenzija .xrtn na kraju (zato je ransomware nazvan XRTN).

Svi fajlovi se šifruju sa RSA-1024 ključem, a svi detalji o šifrovanim fajlovima, zajedno sa ključem za dešifrovanje se čuvaju u XRTN.key fajlu.

Nažalost, to problem ne čini rešivim. XRNT.key fajl je takođe šifrovan glavnim ključem koji je sačuvan u batch fajlu. Korisnicima koji dešifruju XRTN.key i dođu do ključa za dešifrovanje svojih fajlova, biće potreban i privatni ključ za master ključ, koji imaju samo napadači.

Kada se šifrovanje završi, ransomware ostavlja obaveštenje o otkupu u kome se kaže da korisnik mora da pošalje email na email adresu xrtnhelp@yandex.ru da bi dešifrovao svoje fajlove. Obaveštenje ne sadrži informacije o tome koliko hakeri traže za privatni ključ.

Pored toga, HTA dokument se prikazuje korisnicima svaki put kada pokrenu računar, kako bi se žrtva podsetila na infekciju.

Pošto XRTN briše shadow volume kopije i pokreće batch komande koje prepisuju slobodan prostor na disku, standardni alati za oporavak fajlova na hard disku nisu od pomoći, osim kao žrtva nema pristup backupovima.

U ovom trenutku, žrtvama jedino što ostaje je da kontaktiraju autora ransomwarea, jer nema efikasnog načina za uklanjanje XRTN Ransomwarea sa inficiranog računara.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Microsoft upozorava na GigaWiper, malver koji prvo špijunira, a zatim uništava računar

Microsoft upozorava na GigaWiper, malver koji prvo špijunira, a zatim uništava računar

Microsoft je objavio detalje o novom destruktivnom Windows malveru nazvanom GigaWiper, koji napadačima omogućava daljinski pristup zaraženim račun... Dalje

Scareware prevara CypherLoc: lažna upozorenja i prevaranti koji se predstavljaju kao tehnička podrška

Scareware prevara CypherLoc: lažna upozorenja i prevaranti koji se predstavljaju kao tehnička podrška

Istraživači kompanije Barracuda upozorili su na novu scareware prevaru pod nazivom „CypherLoc“, koja koristi iskačuće prozore i lažn... Dalje

Reaper: novi malver za macOS zaobilazi Appleove zaštite i krade lozinke i kripto novčanike

Reaper: novi malver za macOS zaobilazi Appleove zaštite i krade lozinke i kripto novčanike

Istraživači kompanije SentinelOne upozorili su na novu pretnju pod nazivom Reaper, infostealer malver za macOS koji se predstavlja kao legitimno sis... Dalje

Novi malver Storm krade podatke pregledača i preuzima naloge bez lozinke

Novi malver Storm krade podatke pregledača i preuzima naloge bez lozinke

Novi kradljivac informacija pod nazivom Storm pojavio se početkom 2026. na forumima ya sajber kriminal, donoseći promenu u načinu krađe podataka. ... Dalje

Lažni Claude AI instalater širi PlugX malver na Windows sistemima

Lažni Claude AI instalater širi PlugX malver na Windows sistemima

Lažni instalater za Claude AI koristi se za širenje PlugX malvera na Windows sistemima, upozoravaju istraživači iz kompanije Malwarebytes. Prema n... Dalje