Otkriven novi kripto-ransomware, za sada nema načina da žrtve vrate šifrovane fajlove

Opisi virusa, 18.12.2015, 01:00 AM

Otkriven novi kripto-ransomware, za sada nema načina da žrtve vrate šifrovane fajlove

Istraživač Lorens Abrams, vlasnik Bleeping Computera, otkrio je novi malver nazvan XRTN Ransomware koji je veoma sličan ransomwareu VaultCrypt, koji se pojavio u martu ove godine.

Njihova sličnost leži u činjenici da i jedan i drugi malver koriste RSA-1024 enkripciju i da se oslanjaju na GnuPG softver.

Do infekcije dolazi preko dokumenata koji se šalju emailovima. Kada se pokrene, XRTN Ransomware koristi JavaScript komande da bi se povezao sa serverom sa koga preuzima Word fajl, fajl GnuPG.exe i Windows batch fajl.

Kada završi sa tim, JS fajl će se pobrinuti da pokrene Word dokument koji je preuzeo. Na ovaj način napadači prikrivaju tragove. Email atačment može izgledati kao Word dokument, a ustvari je JavaScript fajl.

Sličnu taktiku koriste i nove verzije ranosmwarea TeslaCrypt, koje kao mamac koriste ZIP fajlove sa JavaScript instrukcijama koje se izvršavaju kada se fajl otpakuje, instalirajući tako ransomware.

Osim pokretanja Word dokumenta, JS fajl daje instrukcije inficiranom računaru da pokrene batch fajl koga je preuzeo. Ovaj fajl sadrži instrukcije za šifrovanje fajlova korisnika i upravljanje enkripcijskim ključevima.

Kada se pokrene batch fajl traži fajlove sa ekstenzijama kao što su .xls, .xlsx, .doc, .socx, .pdf, .rtf, .cdr, .psd, .dwg, .cd, .mdb, .1cd, .dbf, .sqlite, .jpg i .zip. Fajlovi sa ovim ekstenzijama se šifruju i dodaje im se ekstenzija .xrtn na kraju (zato je ransomware nazvan XRTN).

Svi fajlovi se šifruju sa RSA-1024 ključem, a svi detalji o šifrovanim fajlovima, zajedno sa ključem za dešifrovanje se čuvaju u XRTN.key fajlu.

Nažalost, to problem ne čini rešivim. XRNT.key fajl je takođe šifrovan glavnim ključem koji je sačuvan u batch fajlu. Korisnicima koji dešifruju XRTN.key i dođu do ključa za dešifrovanje svojih fajlova, biće potreban i privatni ključ za master ključ, koji imaju samo napadači.

Kada se šifrovanje završi, ransomware ostavlja obaveštenje o otkupu u kome se kaže da korisnik mora da pošalje email na email adresu [email protected] da bi dešifrovao svoje fajlove. Obaveštenje ne sadrži informacije o tome koliko hakeri traže za privatni ključ.

Pored toga, HTA dokument se prikazuje korisnicima svaki put kada pokrenu računar, kako bi se žrtva podsetila na infekciju.

Pošto XRTN briše shadow volume kopije i pokreće batch komande koje prepisuju slobodan prostor na disku, standardni alati za oporavak fajlova na hard disku nisu od pomoći, osim kao žrtva nema pristup backupovima.

U ovom trenutku, žrtvama jedino što ostaje je da kontaktiraju autora ransomwarea, jer nema efikasnog načina za uklanjanje XRTN Ransomwarea sa inficiranog računara.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Desetine hiljada WordPress sajtova zaraženo novim malverom Sign1

Desetine hiljada WordPress sajtova zaraženo novim malverom Sign1

Malver „Sign1“ inficira WordPress veb sajtove, i preusmerava posetioce na prevare ili ih bombarduje reklamama, upozorili su istraživači ... Dalje

Kako je malver Inferno Drainer ukrao više od 80 miliona dolara od 136.000 korisnika kriptovaluta

Kako je malver Inferno Drainer ukrao više od 80 miliona dolara od 136.000 korisnika kriptovaluta

Kao što privlači milione ljudi širom sveta, tako svet kriptovaluta privlači i sajber kriminalce koji pokušavaju da iskoriste neiskustvo i neznanj... Dalje

Hakeri koriste grešku u Windows SmartScreen da prevare korisnike da preuzmu malver

Hakeri koriste grešku u Windows SmartScreen da prevare korisnike da preuzmu malver

Phemedrone je novi malver za krađu informacija koji inficira računare koristeći ranjivost Microsoft Defender SmartScreena (CVE-2023-36025). Phemedr... Dalje

Nova varijanta zloglasnog Mirai botneta širi malver za rudarenje kriptovaluta

Nova varijanta zloglasnog Mirai botneta širi malver za rudarenje kriptovaluta

Istraživači sajber bezbednosti iz kompanije Akamai otkrili su novu verziju čuvenog botneta Mirai pod nazivom NoaBot, koja se koristi za distribucij... Dalje

Malver MS Drainer ukrao 59 miliona dolara preko Google oglasa i oglasa na X-u

Malver MS Drainer ukrao 59 miliona dolara preko Google oglasa i oglasa na X-u

Istraživači bezbednosti otkrili su novu seriju napada „crypto drainer” malvera koji je do sada ukrao 59 miliona dolara žrtvama koje su ... Dalje