Ransomware CTB-Faker zaključava fajlove u lozinkom zaštićeni ZIP fajl

Opisi virusa, 26.07.2016, 09:00 AM

Ransomware CTB-Faker zaključava fajlove u lozinkom zaštićeni ZIP fajl

Posle PowerWarea i CryptMIC-a, evo još jednog prevaranta među ransomwareima. Ransomware CTB-Faker pretvara se da je mnogo poznatiji CTB-Locker. I to nije sve. On laže žrtve da koristi jaku enkripciju iako ustvari samo premešta fajlove u ZIP fajlove koji su zaštićeni lozinkom.

Dakle, dobra vest je da CTB-Faker nije opasan kao CTB-Locker i da je fajlove mogući vratiti. Doduše, taj proces nije jednostavan pa je običnim korisnicima računara potrebna pomoć da to urade.

Još jedna dobra vest je da Lorens Abrams sa Bleeping Computera dobrovoljno i besplatno pomaže žrtvama da vrate svoje fajlove.

Sa CTB-Faker ransomwareom možete se sresti na pornografskim sajtovima na kojima se reklamiraju videi sa privatnim striptizom. Posetici ovih sajtova se podstiču da preuzmu ZIP fajl koji sadrži izvršni fajl. Pokretanjem tog fajla dolazi do infekcije ransomwareom CTB-Faker, koji zatim polako počinje da premešta fajlove korisnika u fajl “C:Users.zip”, koji je zaštićen lozinkom.

U tu svrhu CTB-Faker koristi program WinRAR. Kada završi sa tim, ransomware primorava računar da se restartuje i zatim prikazuje poruku o otkupu.

To obaveštenje o tome šta se dogodilo sa fajlovima izgleda kao obaveštenje koje prikazuje daleko poznatiji CTB-Locker. Razlog je očigledan - žrtve će biti spremnije da plate otkup ako veruju da im je računar zaražen CTB-Lockerom.

Ova taktika je izgleda uspešna. Abrams je otkrio jednu Bitcoin adresu koju koristi CTB-Faker na koju je stiglo 577 bitcoina (oko 381000 dolara).

Ne mora da znači da je sav taj novac došao od žrtava CTB-Fakera, ali ako se zna da se od svake žrtve traži 0,08 bitcoina (oko 50 dolara), to bi značilo da je CTB-Faker inficirao više od 7200 računara.

U obaveštenju o otkupu CTB-Faker tvrdi da koristi kombinaciju SHA-512 i RSA-4096 da bi zaključao fajlove, ali zapravo, ransomware koristi AES-256, standardnu enkripciju za zaključavanje fajlova u WinRAR fajlu.

AES-256 ekripcijski ključ (WinRAR lozinka) je hardkodovan u izvršnom fajlu koji se nalazi u ZIP fajlu koji se preuzima sa pornografskih web sajtova. Ako žrtva ima taj fajl sačuvan negde, može kontaktirati Abramsa da bi dobila lozinku za ZIP fajl.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

FBI upozorio na novi ransomware ProLock koji inficira računare koji su već inficirani bankarskim trojancem

FBI upozorio na novi ransomware ProLock koji inficira računare koji su već inficirani bankarskim trojancem

FBI je izdao upozorenje o novom ransomwareu koji je nazvan ProLock, koji je primećen u napadima na zdravstvene organizacije, državne organe, finansi... Dalje

Novi malver nazvan ''Korona virus'' zaključava Windows

Novi malver nazvan ''Korona virus'' zaključava Windows

Budući da su škole zatvorene zbog pandemije, neka deca se zabavljaju pravljenjem malvera. Takav je slučaj sa različitim novim verzijama MBRLocker... Dalje

Malver TrickBot zaobilazi dvofaktornu zaštitu banaka novom Android aplikacijom TrickMo

Malver TrickBot zaobilazi dvofaktornu zaštitu banaka novom Android aplikacijom TrickMo

Sajber-kriminalci koji stoje iza malvera TrickBot koriste Aandroid aplikaciju koju su napravili da bi zaobišli dvofaktornu (2FA) zaštitu koju korist... Dalje

Novi ransomware se zove CoronaVirus, ali on nije najgore što se može desiti vašem računaru

Novi ransomware se zove CoronaVirus, ali on nije najgore što se može desiti vašem računaru

Nova ransomware nazvan CoronaVirus širi se preko lažnog web sajta koji reklamira softver za optimizaciju sistema i druge programe WiseCleanera. Sajb... Dalje

Android malver Cerberus sada može da krade kodove za 2FA iz Google Authenticatora i daljinski otključava uređaj

Android malver Cerberus sada može da krade kodove za 2FA iz Google Authenticatora i daljinski otključava uređaj

Bankarski trojanac Cerberus je nadograđen i sada može da krade kodove Google Authenticatora za dvofaktornu autentifikaciju (2FA) koja se koristi kao... Dalje