Ransomware CTB-Faker zaključava fajlove u lozinkom zaštićeni ZIP fajl
Opisi virusa, 26.07.2016, 09:00 AM

Posle PowerWarea i CryptMIC-a, evo još jednog prevaranta među ransomwareima. Ransomware CTB-Faker pretvara se da je mnogo poznatiji CTB-Locker. I to nije sve. On laže žrtve da koristi jaku enkripciju iako ustvari samo premešta fajlove u ZIP fajlove koji su zaštićeni lozinkom.
Dakle, dobra vest je da CTB-Faker nije opasan kao CTB-Locker i da je fajlove mogući vratiti. Doduše, taj proces nije jednostavan pa je običnim korisnicima računara potrebna pomoć da to urade.
Još jedna dobra vest je da Lorens Abrams sa Bleeping Computera dobrovoljno i besplatno pomaže žrtvama da vrate svoje fajlove.
Sa CTB-Faker ransomwareom možete se sresti na pornografskim sajtovima na kojima se reklamiraju videi sa privatnim striptizom. Posetici ovih sajtova se podstiču da preuzmu ZIP fajl koji sadrži izvršni fajl. Pokretanjem tog fajla dolazi do infekcije ransomwareom CTB-Faker, koji zatim polako počinje da premešta fajlove korisnika u fajl “C:Users.zip”, koji je zaštićen lozinkom.
U tu svrhu CTB-Faker koristi program WinRAR. Kada završi sa tim, ransomware primorava računar da se restartuje i zatim prikazuje poruku o otkupu.
To obaveštenje o tome šta se dogodilo sa fajlovima izgleda kao obaveštenje koje prikazuje daleko poznatiji CTB-Locker. Razlog je očigledan - žrtve će biti spremnije da plate otkup ako veruju da im je računar zaražen CTB-Lockerom.
Ova taktika je izgleda uspešna. Abrams je otkrio jednu Bitcoin adresu koju koristi CTB-Faker na koju je stiglo 577 bitcoina (oko 381000 dolara).
Ne mora da znači da je sav taj novac došao od žrtava CTB-Fakera, ali ako se zna da se od svake žrtve traži 0,08 bitcoina (oko 50 dolara), to bi značilo da je CTB-Faker inficirao više od 7200 računara.
U obaveštenju o otkupu CTB-Faker tvrdi da koristi kombinaciju SHA-512 i RSA-4096 da bi zaključao fajlove, ali zapravo, ransomware koristi AES-256, standardnu enkripciju za zaključavanje fajlova u WinRAR fajlu.
AES-256 ekripcijski ključ (WinRAR lozinka) je hardkodovan u izvršnom fajlu koji se nalazi u ZIP fajlu koji se preuzima sa pornografskih web sajtova. Ako žrtva ima taj fajl sačuvan negde, može kontaktirati Abramsa da bi dobila lozinku za ZIP fajl.

Izdvojeno
Nevidljivi lopov: Kako NFC malver SuperCard krade novac sa računa korisnika Androida

Ruski stručnjaci za sajber bezbednost upozorili su na napade u kojima se za krađu podataka koristi modifikovana verzija legitimnog NFC softvera. Oni... Dalje
Novi opasni ransomware briše sadržaj fajlova na uređajima
.png)
Istraživači iz kompanije Trend Micro otkrili su novi ransomware koji osim mogućnosti šifrovanja fajlova, ima mogućnost i njihovog trajnog brisa... Dalje
Malver Myth Stealer: kradljivac podataka na lažnim sajtovima sa video igrama

Istraživači sajber bezbednosti iz Trellix-a upozorili su na novi malver za krađu podataka pod nazivom Myth Stealer, koji se širi putem lažnih veb... Dalje
Malver Acreed: nova zvezda na crnom sajber-tržištu
.jpg)
Na ruskom hakerskom sajtu Russian Market pojavio se novi malver po imenu Acreed, koji je za kratko vreme postao veoma popularan, a očekuje se da će ... Dalje
Malver FrigidStealer inficira macOS preko lažnih ažuriranja Safari-ja
.jpg)
Istraživači iz firme za sajber bezbednost Wazuh upozorili su na malver FrigidStealer koji inficira macOS preko lažnih ažuriranja pregledača da bi... Dalje
Pratite nas
Nagrade