Otkriven novi kripto-ransomware, za sada nema načina da žrtve vrate šifrovane fajlove

Opisi virusa, 18.12.2015, 01:00 AM

Otkriven novi kripto-ransomware, za sada nema načina da žrtve vrate šifrovane fajlove

Istraživač Lorens Abrams, vlasnik Bleeping Computera, otkrio je novi malver nazvan XRTN Ransomware koji je veoma sličan ransomwareu VaultCrypt, koji se pojavio u martu ove godine.

Njihova sličnost leži u činjenici da i jedan i drugi malver koriste RSA-1024 enkripciju i da se oslanjaju na GnuPG softver.

Do infekcije dolazi preko dokumenata koji se šalju emailovima. Kada se pokrene, XRTN Ransomware koristi JavaScript komande da bi se povezao sa serverom sa koga preuzima Word fajl, fajl GnuPG.exe i Windows batch fajl.

Kada završi sa tim, JS fajl će se pobrinuti da pokrene Word dokument koji je preuzeo. Na ovaj način napadači prikrivaju tragove. Email atačment može izgledati kao Word dokument, a ustvari je JavaScript fajl.

Sličnu taktiku koriste i nove verzije ranosmwarea TeslaCrypt, koje kao mamac koriste ZIP fajlove sa JavaScript instrukcijama koje se izvršavaju kada se fajl otpakuje, instalirajući tako ransomware.

Osim pokretanja Word dokumenta, JS fajl daje instrukcije inficiranom računaru da pokrene batch fajl koga je preuzeo. Ovaj fajl sadrži instrukcije za šifrovanje fajlova korisnika i upravljanje enkripcijskim ključevima.

Kada se pokrene batch fajl traži fajlove sa ekstenzijama kao što su .xls, .xlsx, .doc, .socx, .pdf, .rtf, .cdr, .psd, .dwg, .cd, .mdb, .1cd, .dbf, .sqlite, .jpg i .zip. Fajlovi sa ovim ekstenzijama se šifruju i dodaje im se ekstenzija .xrtn na kraju (zato je ransomware nazvan XRTN).

Svi fajlovi se šifruju sa RSA-1024 ključem, a svi detalji o šifrovanim fajlovima, zajedno sa ključem za dešifrovanje se čuvaju u XRTN.key fajlu.

Nažalost, to problem ne čini rešivim. XRNT.key fajl je takođe šifrovan glavnim ključem koji je sačuvan u batch fajlu. Korisnicima koji dešifruju XRTN.key i dođu do ključa za dešifrovanje svojih fajlova, biće potreban i privatni ključ za master ključ, koji imaju samo napadači.

Kada se šifrovanje završi, ransomware ostavlja obaveštenje o otkupu u kome se kaže da korisnik mora da pošalje email na email adresu xrtnhelp@yandex.ru da bi dešifrovao svoje fajlove. Obaveštenje ne sadrži informacije o tome koliko hakeri traže za privatni ključ.

Pored toga, HTA dokument se prikazuje korisnicima svaki put kada pokrenu računar, kako bi se žrtva podsetila na infekciju.

Pošto XRTN briše shadow volume kopije i pokreće batch komande koje prepisuju slobodan prostor na disku, standardni alati za oporavak fajlova na hard disku nisu od pomoći, osim kao žrtva nema pristup backupovima.

U ovom trenutku, žrtvama jedino što ostaje je da kontaktiraju autora ransomwarea, jer nema efikasnog načina za uklanjanje XRTN Ransomwarea sa inficiranog računara.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Malver TrickBot greškom upozorava žrtve da su zaražene

Malver TrickBot greškom upozorava žrtve da su zaražene

Zloglasni malver TrickBot greškom upozorava žrtve da su zaražene i da treba da se obrate svom administratoru. TrickBot se najčešće širi preko ... Dalje

Za žrtve ransomwarea EvilQuest koji šifruje i krade fajlove sa macOS postoji besplatno rešenje

Za žrtve ransomwarea EvilQuest koji šifruje i krade fajlove sa macOS postoji besplatno rešenje

Loš kod ransomwarea ThiefQuest, koji isključivo inficira macOS uređaje, omogućava vraćanje šifrovanih fajlova, koji bi, da autori malvera nisu ... Dalje

Otkriven novi ransomware koji isključivo inficira macOS

Otkriven novi ransomware koji isključivo inficira macOS

Novi ransomware nazvan OSX.EvilQuest, otkriven ove nedelje, inficira isključivo macOS uređaje. Ono po čemu se razlikuje od drugih ransomwarea za ma... Dalje

Ransomware Sodinokibi (REvil) ima novu taktiku za izvlačenje novca od žrtava

Ransomware Sodinokibi (REvil) ima novu taktiku za izvlačenje novca od žrtava

Grupa koja stoji iza jednog od najuspešnijih ransomwarea sada skenira mreže kompanija kako bi pronašla podatke o platnim karticama, plaćanjima i s... Dalje

Sajber-kriminalci manipulišu Google pretragom da bi širili novi malver za Mac

Sajber-kriminalci manipulišu Google pretragom da bi širili novi malver za Mac

Većina korisnika prilikom pretraživanja interneta je svesna da postoje zlonamerni sajtovi na kojima treba biti oprezan. Ali, za pretraživače Goog... Dalje