Pratite nas preko RSS-aRansomware CTB-Faker zaključava fajlove u lozinkom zaštićeni ZIP fajl
Opisi virusa, 26.07.2016, 09:00 AM
Posle PowerWarea i CryptMIC-a, evo još jednog prevaranta među ransomwareima. Ransomware CTB-Faker pretvara se da je mnogo poznatiji CTB-Locker. I to nije sve. On laže žrtve da koristi jaku enkripciju iako ustvari samo premešta fajlove u ZIP fajlove koji su zaštićeni lozinkom.
Dakle, dobra vest je da CTB-Faker nije opasan kao CTB-Locker i da je fajlove mogući vratiti. Doduše, taj proces nije jednostavan pa je običnim korisnicima računara potrebna pomoć da to urade.
Još jedna dobra vest je da Lorens Abrams sa Bleeping Computera dobrovoljno i besplatno pomaže žrtvama da vrate svoje fajlove.
Sa CTB-Faker ransomwareom možete se sresti na pornografskim sajtovima na kojima se reklamiraju videi sa privatnim striptizom. Posetici ovih sajtova se podstiču da preuzmu ZIP fajl koji sadrži izvršni fajl. Pokretanjem tog fajla dolazi do infekcije ransomwareom CTB-Faker, koji zatim polako počinje da premešta fajlove korisnika u fajl “C:Users.zip”, koji je zaštićen lozinkom.
U tu svrhu CTB-Faker koristi program WinRAR. Kada završi sa tim, ransomware primorava računar da se restartuje i zatim prikazuje poruku o otkupu.
To obaveštenje o tome šta se dogodilo sa fajlovima izgleda kao obaveštenje koje prikazuje daleko poznatiji CTB-Locker. Razlog je očigledan - žrtve će biti spremnije da plate otkup ako veruju da im je računar zaražen CTB-Lockerom.
Ova taktika je izgleda uspešna. Abrams je otkrio jednu Bitcoin adresu koju koristi CTB-Faker na koju je stiglo 577 bitcoina (oko 381000 dolara).
Ne mora da znači da je sav taj novac došao od žrtava CTB-Fakera, ali ako se zna da se od svake žrtve traži 0,08 bitcoina (oko 50 dolara), to bi značilo da je CTB-Faker inficirao više od 7200 računara.
U obaveštenju o otkupu CTB-Faker tvrdi da koristi kombinaciju SHA-512 i RSA-4096 da bi zaključao fajlove, ali zapravo, ransomware koristi AES-256, standardnu enkripciju za zaključavanje fajlova u WinRAR fajlu.
AES-256 ekripcijski ključ (WinRAR lozinka) je hardkodovan u izvršnom fajlu koji se nalazi u ZIP fajlu koji se preuzima sa pornografskih web sajtova. Ako žrtva ima taj fajl sačuvan negde, može kontaktirati Abramsa da bi dobila lozinku za ZIP fajl.
Izdvojeno
MostereRAT: novi trojanac preuzima potpunu kontrolu nad Windows uređajima
Istraživači iz FortiGuard Labs upozoravaju na novi malver nazvan MostereRAT, koji se širi putem phishing kampanje i cilja korisnike Windows uređaj... Dalje
“Besplatni” krekovani program može biti skupa lekcija
Istraživači iz kompanije Trend Micro upozoravaju na novu kampanju Atomic macOS Stealer (AMOS) malvera, koji cilja korisnike macOS-a maskirajući se ... Dalje
Seksualna ucena (sextortion): sajber kriminalci imaju novi trik
Sajber kriminalci podigli su sextortion (seksualnu ucenu) na viši nivo sa malverom koji veb kamerom slika korisnike koji gledaju pornografiju. Seksua... Dalje
Lažni PDF editori u Google oglasima kriju malver TamperedChef
Istraživači iz Truesec-a i G DATA otkrili su novu kampanju sajber kriminalaca koji koriste Google oglase da bi usmerili žrtve na lažne sajtove gde... Dalje
Lažni imejlovi instaliraju malver UpCrypter na Windows računarima
FortiGuard Labs, istraživački tim kompanije Fortinet, otkrio je novu globalnu kampanju koja preko phishing mejlova širi malver UpCrypter. Ovaj malv... Dalje
Pratite nas
Nagrade
Prijatelji
